Mirax RAT
一种名为 Mirax 的新型安卓远程访问木马正在通过大规模社交媒体活动积极攻击西班牙语地区。攻击者利用 Facebook、Instagram、Messenger 和 Threads 等平台上的广告,触达超过 22 万个账户。这种广泛的传播凸显了攻击者蓄意利用可信的广告生态系统进行恶意软件传播。
目录
高级遥控功能
Mirax 是一款功能强大的远程访问木马 (RAT),它赋予攻击者对受感染设备的完全实时控制权。其功能远超标准 RAT,能够对受感染系统进行精细化的监控和交互。其功能包括键盘记录、照片窃取、锁屏数据收集、命令执行、界面导航以及持续监控用户活动。
此外,该恶意软件可以从其命令与控制 (C2) 基础架构中检索和显示动态 HTML 叠加层,从而通过欺骗性界面窃取凭据。
将受害者转化为代理基础设施
Mirax 的一个显著特征是能够将受感染的设备转化为住宅代理节点。通过整合 SOCKS5 协议支持和 Yamux 多路复用技术,该恶意软件能够建立持久代理通道,将攻击者的流量路由到合法用户的 IP 地址。此功能使攻击者能够绕过地理位置限制、规避欺诈检测机制,并以更高的匿名性和可信度进行账户劫持等恶意活动。
具有独家访问权限的恶意软件即服务
Mirax 以“Mirax Bot”之名,作为恶意软件即服务 (MaaS) 产品进行销售。完整版的三个月订阅价格为 2,500 美元。同时,还有一个功能精简的版本,每月价格为 1,750 美元,缺少代理功能和 Google Play Protect 绕过功能等。与典型的 MaaS 平台不同,Mirax 的分发受到严格控制,仅限于少数合作方,这些合作方主要是在地下论坛中拥有良好声誉的俄语人士。这种排他性表明,Mirax 有意将重点放在运营安全和持续的攻击效果上。
通过恶意广告进行社会工程攻击
该感染链严重依赖于托管在 Meta 平台上的欺骗性广告活动。这些广告推广虚假的流媒体服务,声称可以免费观看体育赛事和电影直播,诱使用户下载恶意应用程序。目前已发现多条此类广告,其中西班牙用户占比尤高。仅 2026 年 4 月 6 日发起的一项广告活动就覆盖了近 19.1 万用户,这充分展现了该传播策略的规模和有效性。
复杂的投递和规避技巧
Mirax采用多阶段感染流程,旨在逃避检测和分析。投放器应用程序通过网页分发,这些网页会实施严格的访问控制,确保只有移动用户才能访问,同时阻止自动安全扫描。恶意APK文件托管在GitHub上,进一步与合法基础设施融为一体。
一旦执行,该投放器会提示用户启用“允许安装未知来源应用”的权限,从而启动一个复杂的有效载荷提取过程,该过程旨在绕过沙箱和安全工具。随后,该恶意软件会将自身伪装成视频播放应用程序,并请求辅助功能服务权限,从而获得对设备操作的广泛控制权,同时在后台静默运行。它会显示虚假的安装失败消息以误导用户,同时恶意叠加层会隐藏正在进行的活动。
该活动使用了多个欺骗性的应用程序身份:
StreamTV(org.lgvvfj.pluscqpuj 或 org.dawme.secure5ny)——用作投放器
视频播放器(org.yjeiwd.plusdc71 或 org.azgaw.managergst1d)——用于分发 Mirax 有效载荷
指挥控制架构和通信渠道
Mirax与其C2服务器建立多个双向通信通道,从而实现高效的任务执行和数据外泄。不同的WebSocket连接用于不同的操作目的:
- 端口 8443 处理远程访问管理和命令执行。
- 端口 8444 支持远程流媒体传输和数据泄露。
- 端口 8445(或自定义端口)支持基于 SOCKS5 的住宅代理操作。
这种分段式架构提高了可靠性和操作灵活性,但也增加了检测工作的难度。
网络犯罪行动进入新阶段
RAT(远程访问木马)与住宅代理功能的整合标志着移动威胁设计发生了重大演变。以往,代理僵尸网络通常与受感染的物联网设备或低成本安卓硬件(例如智能电视)相关联。Mirax 的出现则代表着将这些功能嵌入到功能齐全的银行木马中,从而显著提升了每次感染的价值以及攻击者操作的灵活性。
Mirax 将金融欺诈机制与代理基础设施相结合,使威胁行为者能够同时直接利用受害者,并将他们的设备作为资产投入到更广泛的网络犯罪生态系统中。
