Mirax: El troyano de Android convierte smartphones en proxies para estafadores
El nuevo malware Mirax para Android no solo roba datos y proporciona acceso remoto, sino que también utiliza dispositivos infectados como nodos proxy. Esto permite a los atacantes enmascarar el tráfico y expandir su infraestructura de ataque, aumentando la efectividad de los esquemas de fraude.
Distribución y Enmascaramiento de Amenazas
Mirax se propaga mediante archivos APK de phishing disfrazados de aplicaciones de IPTV, transmisión de video, dispositivos IoT y software de entretenimiento. Los anuncios aparecen en plataformas de Meta, dirigidos a usuarios en regiones hispanohablantes. Las campañas abarcan cientos de miles de cuentas, verificando dispositivos móviles antes de emitir enlaces a GitHub Releases.
El acceso a la plataforma está restringido a socios verificados de comunidades rusoparlantes, minimizando los riesgos de exposición. Este modelo reduce la probabilidad de filtraciones y extiende el ciclo de vida de la amenaza.
Funcionalidad del Malware
Tras la instalación, Mirax proporciona a los operadores control total:
- Visualización y gestión de pantalla;
- Lanzamiento de aplicaciones;
- Recolección de SMS y datos del portapapeles;
- Información de la pantalla de bloqueo, incluyendo PIN, clave gráfica y biométricos.
Para robar credenciales, se cargan superposiciones HTML sobre aplicaciones bancarias y cripto. Esta es una técnica estándar de troyanos bancarios, pero Mirax destaca por capacidades adicionales.
Función Proxy Única
La innovación clave es la integración de SOCKS5 y Yamux para convertir el dispositivo en un proxy residente. Los atacantes enrutan el tráfico a través de la IP de la víctima, evitando geobloqueos y sistemas antifraude.
Este esquema amplía el uso de smartphones infectados más allá del fraude directo. Los dispositivos se integran en botnets para DDoS, escaneo u otras operaciones, aumentando la rentabilidad de cada infección.
Lo Importante
- Mirax evoluciona las amenazas de Android, combinando vigilancia, robo de datos y funciones proxy en un solo paquete;
- El alcance de la campaña supera las 200 mil cuentas en América Latina;
- El acceso limitado a la plataforma mejora el secreto operativo;
- Los nodos proxy reducen la detección y expanden los escenarios de ataque;
- El crecimiento de estas amenazas señala un cambio hacia ataques de infraestructura.
Contexto y Consecuencias
Anteriormente, las botnets proxy estaban asociadas a IoT y gadgets baratos. Ahora, troyanos completos como Mirax llevan este modelo a smartphones de gama alta, aumentando la escala y la rentabilidad. Las razones del éxito radican en la combinación de ingeniería social mediante anuncios y madurez técnica.
Las consecuencias para los usuarios incluyen pérdida de control sobre dispositivos y finanzas, además de riesgos para los sistemas bancarios. La industria enfrenta la necesidad de fortalecer la protección móvil, incluido el análisis de comportamiento y el bloqueo de superposiciones. Los reguladores de Meta ya están respondiendo a los anuncios de phishing, pero la erradicación completa requiere cooperación entre plataformas.
Globalmente, esto refleja una tendencia hacia la monetización de infecciones a través de infraestructuras. Según analistas, troyanos similares podrían duplicar las ganancias de los cibercriminales debido a la multifuncionalidad.
— Editorial Team
Aún no hay comentarios.