Chuột Mirax
Một loại mã độc Trojan truy cập từ xa Android mới được phát hiện, Mirax, đang tích cực nhắm mục tiêu vào các khu vực nói tiếng Tây Ban Nha thông qua các chiến dịch truyền thông xã hội quy mô lớn. Các tác nhân đe dọa đã tận dụng quảng cáo trên các nền tảng như Facebook, Instagram, Messenger và Threads, tiếp cận hơn 220.000 tài khoản. Sự lan rộng này cho thấy một nỗ lực có tính toán nhằm khai thác các hệ sinh thái quảng cáo đáng tin cậy để phát tán phần mềm độc hại.
Mục lục
Khả năng điều khiển từ xa nâng cao
Mirax hoạt động như một Trojan truy cập từ xa (RAT) có khả năng cao, cho phép kẻ tấn công kiểm soát hoàn toàn, theo thời gian thực các thiết bị bị xâm nhập. Chức năng của nó vượt xa các hoạt động RAT tiêu chuẩn, cho phép giám sát và tương tác với các hệ thống bị nhiễm ở mức độ chi tiết. Các khả năng bao gồm ghi nhật ký thao tác bàn phím, đánh cắp ảnh, thu thập dữ liệu màn hình khóa, thực thi lệnh, điều hướng giao diện và giám sát liên tục hoạt động của người dùng.
Ngoài ra, phần mềm độc hại này có thể truy xuất và hiển thị các lớp phủ HTML động từ cơ sở hạ tầng điều khiển và giám sát (C2) của nó, tạo điều kiện thuận lợi cho việc thu thập thông tin đăng nhập thông qua các giao diện đánh lừa.
Biến nạn nhân thành cơ sở hạ tầng proxy
Một đặc điểm nổi bật của Mirax là khả năng biến các thiết bị bị nhiễm thành các nút proxy dân cư. Bằng cách tích hợp hỗ trợ giao thức SOCKS5 cùng với ghép kênh Yamux, phần mềm độc hại thiết lập các kênh proxy liên tục định tuyến lưu lượng truy cập của kẻ tấn công thông qua các địa chỉ IP hợp pháp của người dùng. Chức năng này cho phép kẻ thù vượt qua các hạn chế về vị trí địa lý, né tránh các cơ chế phát hiện gian lận và thực hiện các hoạt động độc hại như chiếm đoạt tài khoản với tính ẩn danh và độ tin cậy được nâng cao.
Dịch vụ phần mềm độc hại với quyền truy cập độc quyền
Mirax được tiếp thị như một dịch vụ phần mềm độc hại (Malware-as-a-Service - MaaS) với tên gọi 'Mirax Bot'. Phiên bản đầy đủ tính năng có giá 2.500 đô la cho gói đăng ký ba tháng. Đồng thời, một phiên bản rút gọn có giá 1.750 đô la mỗi tháng, thiếu các tính năng như chức năng proxy và khả năng vượt qua Google Play Protect. Không giống như các nền tảng MaaS thông thường, việc phân phối được kiểm soát chặt chẽ và chỉ giới hạn trong một nhóm nhỏ các đối tác, chủ yếu là những người nói tiếng Nga có uy tín trong các diễn đàn ngầm. Tính độc quyền này cho thấy sự tập trung có chủ đích vào bảo mật hoạt động và hiệu quả chiến dịch bền vững.
Kỹ thuật thao túng tâm lý thông qua quảng cáo độc hại.
Chuỗi lây nhiễm phụ thuộc rất nhiều vào các chiến dịch quảng cáo lừa đảo được đăng tải trên các nền tảng Meta. Những quảng cáo này quảng bá các dịch vụ phát trực tuyến gian lận, cung cấp quyền truy cập miễn phí vào các sự kiện thể thao trực tiếp và phim ảnh, dụ dỗ người dùng tải xuống các ứng dụng độc hại. Nhiều quảng cáo đã được xác định, tập trung mạnh vào người dùng ở Tây Ban Nha. Chỉ riêng một chiến dịch, được khởi động vào ngày 6 tháng 4 năm 2026, đã tiếp cận gần 191.000 người dùng, cho thấy quy mô và hiệu quả của chiến lược phân phối này.
Các kỹ thuật vận chuyển và né tránh tinh vi
Mirax sử dụng quy trình lây nhiễm nhiều giai đoạn được thiết kế để né tránh sự phát hiện và phân tích. Các ứng dụng dropper được phân phối thông qua các trang web thực thi kiểm tra quyền truy cập nghiêm ngặt, đảm bảo chỉ người dùng di động mới có thể tiếp tục đồng thời chặn các quét bảo mật tự động. Các tệp APK độc hại được lưu trữ trên GitHub, giúp chúng hòa lẫn vào cơ sở hạ tầng hợp pháp.
Sau khi được thực thi, phần mềm độc hại sẽ yêu cầu người dùng cho phép cài đặt từ các nguồn không xác định, khởi động một quy trình trích xuất phần mềm độc hại phức tạp được thiết kế để vượt qua các công cụ bảo mật và cơ chế cách ly. Sau đó, phần mềm độc hại tự ngụy trang thành một ứng dụng phát video và yêu cầu quyền truy cập dịch vụ hỗ trợ tiếp cận, cho phép nó kiểm soát rộng rãi các hoạt động của thiết bị trong khi chạy ngầm trong nền. Một thông báo lỗi cài đặt giả mạo sẽ được hiển thị để đánh lừa người dùng, trong khi các lớp phủ độc hại che giấu hoạt động đang diễn ra.
Chiến dịch này đã sử dụng một số danh tính ứng dụng giả mạo:
StreamTV (org.lgvvfj.pluscqpuj hoặc org.dawme.secure5ny) – hoạt động như một máy chủ trung gian
Reproductor de video (org.yjeiwd.plusdc71 or org.azgaw.managergst1d) – delivering the Mirax payload
Kiến trúc chỉ huy và kiểm soát cùng các kênh liên lạc
Mirax thiết lập nhiều kênh liên lạc hai chiều với các máy chủ C2 của mình, cho phép thực thi tác vụ hiệu quả và trích xuất dữ liệu. Các kết nối WebSocket riêng biệt được sử dụng cho các mục đích hoạt động khác nhau:
- Cổng 8443 đảm nhiệm việc quản lý truy cập từ xa và thực thi lệnh.
- Cổng 8444 hỗ trợ truyền phát từ xa và rò rỉ dữ liệu.
- Cổng 8445 (hoặc các cổng tùy chỉnh) hỗ trợ các hoạt động proxy dân cư dựa trên SOCKS5.
Kiến trúc phân đoạn này giúp tăng cường độ tin cậy và tính linh hoạt trong vận hành, đồng thời làm phức tạp thêm các nỗ lực phát hiện.
Một giai đoạn mới trong hoạt động tội phạm mạng.
Việc tích hợp khả năng RAT (Remote Access Trojan) và proxy dân dụng báo hiệu một bước tiến đáng kể trong thiết kế các mối đe dọa di động. Trước đây, các mạng botnet proxy thường gắn liền với các thiết bị IoT bị xâm nhập hoặc phần cứng Android giá rẻ như TV thông minh. Mirax thể hiện sự chuyển dịch hướng tới việc tích hợp các khả năng này vào các phần mềm độc hại ngân hàng đầy đủ tính năng, làm tăng đáng kể cả giá trị của mỗi lần lây nhiễm và tính linh hoạt trong hoạt động của kẻ tấn công.
Bằng cách kết hợp các cơ chế gian lận tài chính với cơ sở hạ tầng proxy, Mirax cho phép các tác nhân đe dọa đồng thời khai thác trực tiếp nạn nhân và tận dụng thiết bị của họ như tài sản trong hệ sinh thái tội phạm mạng rộng lớn hơn.
