Mirax RAT
一種名為 Mirax 的新型安卓遠端存取木馬正在透過大規模社交媒體活動積極攻擊西班牙語地區。攻擊者利用 Facebook、Instagram、Messenger 和 Threads 等平台上的廣告,觸達超過 22 萬個帳號。這種廣泛的傳播凸顯了攻擊者蓄意利用可信賴的廣告生態系統進行惡意軟體傳播。
目錄
進階遙控功能
Mirax 是一款功能強大的遠端存取木馬 (RAT),它賦予攻擊者對受感染裝置的完全即時控制權。其功能遠超過標準 RAT,能夠對受感染系統進行精細化的監控和互動。其功能包括鍵盤記錄、照片竊取、鎖定螢幕資料收集、命令執行、介面導航以及持續監控使用者活動。
此外,該惡意軟體可以從其命令與控制 (C2) 基礎架構中檢索和顯示動態 HTML 疊加層,從而透過欺騙性介面竊取憑證。
將受害者轉化為代理基礎設施
Mirax 的一個顯著特徵是能夠將受感染的設備轉化為住宅代理節點。透過整合 SOCKS5 協定支援和 Yamux 多路復用技術,該惡意軟體能夠建立持久代理通道,將攻擊者的流量路由到合法用戶的 IP 位址。此功能使攻擊者能夠繞過地理位置限制、規避詐欺偵測機制,並以更高的匿名性和可信度進行帳戶劫持等惡意活動。
具有獨家存取權限的惡意軟體即服務
Mirax 以「Mirax Bot」之名,作為惡意軟體即服務 (MaaS) 產品進行銷售。完整版的三個月訂閱價格為 2,500 美元。同時,還有一個功能精簡的版本,每月價格為 1,750 美元,缺少代理功能和 Google Play Protect 繞過功能等。與典型的 MaaS 平台不同,Mirax 的分發受到嚴格控制,僅限於少數合作方,這些合作方主要是在地下論壇中擁有良好聲譽的俄語人士。這種排他性表明,Mirax 有意將重點放在營運安全和持續的攻擊效果上。
透過惡意廣告進行社會工程攻擊
該感染鏈嚴重依賴託管在 Meta 平台上的欺騙性廣告活動。這些廣告推廣虛假的串流服務,聲稱可以免費觀看體育賽事和電影直播,誘使用戶下載惡意應用程式。目前已發現多則此類廣告,其中西班牙用戶佔比尤高。光是 2026 年 4 月 6 日發起的廣告活動就涵蓋了近 19.1 萬用戶,充分展現了該傳播策略的規模和成效。
複雜的投遞與規避技巧
Mirax採用多階段感染流程,旨在逃避檢測與分析。投放器應用程式透過網頁分發,這些網頁會實施嚴格的存取控制,確保只有行動用戶才能訪問,同時阻止自動安全掃描。惡意APK檔案託管在GitHub上,進一步與合法基礎設施融為一體。
一旦執行,該投放器會提示使用者啟用「允許安裝未知來源應用程式」的權限,從而啟動一個複雜的有效載荷提取過程,該過程旨在繞過沙箱和安全工具。隨後,該惡意軟體會將自身偽裝成視訊播放應用程序,並請求輔助功能服務權限,從而獲得對設備操作的廣泛控制權,同時在後台靜默運行。它會顯示虛假的安裝失敗訊息以誤導用戶,同時惡意疊加層會隱藏正在進行的活動。
該活動使用了多個欺騙性的應用程式身分:
StreamTV(org.lgvvfj.pluscqpuj 或 org.dawme.secure5ny)-用作投放器
視訊播放器(org.yjeiwd.plusdc71 或 org.azgaw.managergst1d)—用於分發 Mirax 有效載荷
指揮控制架構與通訊管道
Mirax與其C2伺服器建立多個雙向通訊通道,實現高效率的任務執行和資料外洩。不同的WebSocket連線用於不同的操作目的:
- 連接埠 8443 處理遠端存取管理和命令執行。
- 連接埠 8444 支援遠端串流傳輸和資料外洩。
- 連接埠 8445(或自訂連接埠)支援基於 SOCKS5 的住宅代理操作。
這種分段式架構提高了可靠性和操作靈活性,但也增加了偵測工作的難度。
網路犯罪行動進入新階段
RAT(遠端存取木馬)與住宅代理功能的整合標誌著行動威脅設計發生了重大演變。以往,代理殭屍網路通常與受感染的物聯網設備或低成本安卓硬體(例如智慧電視)相關聯。 Mirax 的出現則代表著將這些功能嵌入到功能齊全的銀行木馬中,顯著提升了每次感染的價值以及攻擊者操作的靈活性。
Mirax 將金融詐欺機制與代理基礎設施相結合,使威脅行為者能夠同時直接利用受害者,並將他們的設備作為資產投入到更廣泛的網路犯罪生態系統中。
