Nowy trojan zdalnego dostępu Mirax celuje w krajach hiszpańskojęzycznych

Nowy trojan zdalnego dostępu na Androidzie, znany jako Mirax, został zaobserwowany w aktywnych kampaniach, które koncentrują się na krajach hiszpańskojęzycznych. Dotychczas zauważono, że dociera on do ponad 220 000 kont na platformach Facebook, Instagram, Messenger oraz Threads, wykorzystując reklamy na Meta.

Firma Cleafy, specjalizująca się w zapobieganiu oszustwom internetowym, opisuje Mirax jako narzędzie z zaawansowanymi możliwościami zdalnego dostępu (RAT), które umożliwiają przestępcom pełną interakcję z zainfekowanymi urządzeniami w czasie rzeczywistym.

„Oprócz tradycyjnego zachowania RAT, Mirax zwiększa swoją wartość operacyjną, przekształcając zainfekowane urządzenia w węzły proxy zamieszkałe. Dzięki obsłudze protokołu SOCKS5 i multiplexingowi Yamux, tworzy trwałe kanały proxy, które pozwalają atakującym na kierowanie swojego ruchu przez prawdziwy adres IP ofiary” – podkreśliła firma Cleafy.

Informacje o Mirax

Szczegóły dotyczące Mirax pojawiły się po raz pierwszy w zeszłym miesiącu, gdy Outpost24 w swoim laboratorium KrakenLabs ujawnił, że osoba posługująca się pseudonimem „Mirax Bot” reklamowała prywatną ofertę malware-as-a-service (MaaS) na podziemnych forach, oferując subskrypcję na trzy miesiące za 2 500 dolarów. Istnieje również dostępna odmiana o obniżonej funkcjonalności za 1 750 dolarów miesięcznie, która nie zawiera niektórych funkcji, takich jak proxy oraz możliwość omijania Google Play Protect przy użyciu cryptera.

Jak inne złośliwe oprogramowanie na Androida, Mirax potrafi rejestrować naciśnięcia klawiszy, kradnąc zdjęcia, zbierać szczegóły z ekranu blokady, uruchamiać polecenia, nawigować w interfejsie użytkownika oraz monitorować aktywność użytkownika na zainfekowanym urządzeniu. Może również dynamicznie pobierać strony HTML z serwera dowodzenia i kontroli (C2) w celu kradzieży danych uwierzytelniających.

Wykorzystanie proxy SOCKS

Dodanie funkcji proxy SOCKS stanowi mniej znany element, który odróżnia Mirax od tradycyjnych RAT. Botnet proxy oferuje kilka korzyści – umożliwia przestępcom omijanie ograniczeń geolokalizacyjnych, unikanie systemów wykrywania oszustw oraz przejąć konta lub prowadzić oszustwa transakcyjne pod przykrywką większej anonimowości i wiarygodności.

„W przeciwieństwie do typowych ofert MaaS, Mirax rozprowadzany jest w ramach ściśle kontrolowanego modelu, ograniczonego do niewielkiej liczby partnerów” – powiedzieli badacze Alberto Giust, Alessandro Strino i Federico Valentini. „Dostęp zdaje się być priorytetem dla aktorów posługujących się językiem rosyjskim z ustalonymi reputacjami w podziemnych społecznościach, co wskazuje na celowe starania w kierunku utrzymania bezpieczeństwa operacyjnego i skuteczności kampanii.”

Łańcuchy ataków i wykorzystanie reklam Meta

Kampanie dystrybucji malware wykorzystują reklamy Meta do promowania stron z aplikacjami dropper, wprowadzając nieświadomych użytkowników w błąd, aby pobrali je. Obserwowano aż sześć reklam aktywnie reklamujących usługę transmisji z bezpłatnym dostępem do wydarzeń sportowych oraz filmów. Pięć z tych reklam skierowanych jest do użytkowników w Hiszpanii. Jedna z reklam, która zaczęła działać 6 kwietnia 2026 roku, dotarła do 190 987 kont.

Adresy URL aplikacji dropper wprowadzają szereg kontrolnych mechanizmów, aby upewnić się, że są dostępne za pomocą urządzeń mobilnych i zapobiec automatycznym skanowaniom, które mogłyby ujawnić ich prawdziwe przeznaczenie. Poniżej znajdują się nazwy złośliwych aplikacji:

• StreamTV (org.lgvvfj.pluscqpuj lub org.dawme.secure5ny) – aplikacja dropper
• Reproductor de video (org.yjeiwd.plusdc71 lub org.azgaw.managergst1d) – Mirax

Hostowanie złośliwych plików na GitHubie

Interesującym aspektem kampanii jest wykorzystanie GitHub jako platformy do hostowania złośliwych plików APK. Dodatkowo panel budowania oferuje możliwość wyboru pomiędzy dwoma crypterami – Virbox oraz Golden Crypt (znanym również jako Golden Encryption) – dla zwiększonej ochrony APK.

Po zainstalowaniu, aplikacja dropper instruuje użytkowników, aby zezwolili na instalację z nieznanych źródeł w celu wdrożenia malware. Proces wydobywania ostatecznego ładunku ma charakter „zaawansowanej, wieloetapowej operacji”, zaprojektowanej z myślą o ominięciu analizy bezpieczeństwa i automatycznego stosowania narzędzi sandboxingowych.

Złożoność działania Mirax

Po zainstalowaniu na urządzeniu, malware udaje narzędzie do odtwarzania wideo, a także namawia ofiarę do włączenia usług dostępu, co pozwala mu działać w tle, wyświetlać fałszywy komunikat o błędzie informujący o nieudanej instalacji i serwować fałszywe nakładki w celu ukrycia działań złośliwych.

Mirax ustanawia również wiele dwukierunkowych kanałów C2 do zadań i ekfiltracji danych:

• WebSocket na porcie 8443, do zarządzania zdalnym dostępem i wykonywania zdalnych poleceń.
• WebSocket na porcie 8444, do zarządzania transmisją zdalną i ekfiltracją danych.
• WebSocket na porcie 8445 (lub dedykowanym porcie), do ustanawiania residential proxy przy użyciu SOCKS5.

„To zbieżność możliwości RAT i proxy odzwierciedla szerszy trend w krajobrazie zagrożeń” – zauważyła firma Cleafy. „Podczas gdy nadużycia proxy zamieszkałych były historycznie związane z zainfekowanymi urządzeniami IoT i tanim sprzętem Android, takim jak inteligentne telewizory, Mirax oznacza nowy etap, umieszczając tę funkcjonalność w pełnoprawnym trojanie bankowym.”

„Takie podejście nie tylko zwiększa potencjał monetyzacji każdej infekcji, ale także poszerza zakres działań atakujących, którzy mogą teraz wykorzystywać zainfekowane urządzenia do zarówno bezpośrednich oszustw finansowych, jak i jako infrastrukturę do szerszych działań cyberprzestępczych.”

Pojawienie się ASO RAT

Informacje na temat Mirax zbiegają się w czasie z ujawnieniem przez Breakglass Intelligence istniejącego trudnego do wykrycia arabskiego RAT na Androida o nazwie ASO RAT, który rozprzestrzeniany jest przez aplikacje podające się za czytniki PDF i aplikacje rządowe Syrii. „Platforma ta zapewnia pełną możliwość kompromitacji urządzeń, obejmując przechwytywanie SMS-ów, dostęp do kamery, śledzenie GPS, rejestrowanie połączeń, ekfiltrację plików oraz uruchamianie DDoS z zainfekowanych urządzeń” – informuje firma. „Wielu użytkowników panelu z kontrolą dostępu opartą na rolach sugeruje, że operuje to jako RAT-as-a-Service lub wspiera zespół wielooperatorowy.”

Obecnie nieznane są dokładne cele kampanii, ale aplikacje z motywami syryjskimi (np. SyriaDefenseMap i GovLens) sugerują, że mogą być skierowane do osób zainteresowanych militarnymi lub rządowymi sprawami Syrii, co może wskazywać na operację szpiegowską.