Volver al inicio

Mirax: troyano proxy para Android que roba datos y tráfico

Mirax es un nuevo troyano Android que combina robo de datos, acceso remoto y funciones proxy vía SOCKS5. Distribuido a través de anuncios en Meta, dirigido a América Latina. El análisis muestra el crecimiento de amenazas de infraestructura para dispositivos móviles.

Mirax en Android: desde robo de datos hasta botnets proxy
Advertisement 728x90

Mirax: El troyano de Android convierte smartphones en proxies para estafadores

El nuevo malware Mirax para Android no solo roba datos y proporciona acceso remoto, sino que también utiliza dispositivos infectados como nodos proxy. Esto permite a los atacantes enmascarar el tráfico y expandir su infraestructura de ataque, aumentando la efectividad de los esquemas de fraude.

Distribución y Enmascaramiento de Amenazas

Mirax se propaga mediante archivos APK de phishing disfrazados de aplicaciones de IPTV, transmisión de video, dispositivos IoT y software de entretenimiento. Los anuncios aparecen en plataformas de Meta, dirigidos a usuarios en regiones hispanohablantes. Las campañas abarcan cientos de miles de cuentas, verificando dispositivos móviles antes de emitir enlaces a GitHub Releases.

El acceso a la plataforma está restringido a socios verificados de comunidades rusoparlantes, minimizando los riesgos de exposición. Este modelo reduce la probabilidad de filtraciones y extiende el ciclo de vida de la amenaza.

Google AdInline article slot

Funcionalidad del Malware

Tras la instalación, Mirax proporciona a los operadores control total:

  • Visualización y gestión de pantalla;
  • Lanzamiento de aplicaciones;
  • Recolección de SMS y datos del portapapeles;
  • Información de la pantalla de bloqueo, incluyendo PIN, clave gráfica y biométricos.

Para robar credenciales, se cargan superposiciones HTML sobre aplicaciones bancarias y cripto. Esta es una técnica estándar de troyanos bancarios, pero Mirax destaca por capacidades adicionales.

Función Proxy Única

La innovación clave es la integración de SOCKS5 y Yamux para convertir el dispositivo en un proxy residente. Los atacantes enrutan el tráfico a través de la IP de la víctima, evitando geobloqueos y sistemas antifraude.

Google AdInline article slot

Este esquema amplía el uso de smartphones infectados más allá del fraude directo. Los dispositivos se integran en botnets para DDoS, escaneo u otras operaciones, aumentando la rentabilidad de cada infección.

Lo Importante

  • Mirax evoluciona las amenazas de Android, combinando vigilancia, robo de datos y funciones proxy en un solo paquete;
  • El alcance de la campaña supera las 200 mil cuentas en América Latina;
  • El acceso limitado a la plataforma mejora el secreto operativo;
  • Los nodos proxy reducen la detección y expanden los escenarios de ataque;
  • El crecimiento de estas amenazas señala un cambio hacia ataques de infraestructura.

Contexto y Consecuencias

Anteriormente, las botnets proxy estaban asociadas a IoT y gadgets baratos. Ahora, troyanos completos como Mirax llevan este modelo a smartphones de gama alta, aumentando la escala y la rentabilidad. Las razones del éxito radican en la combinación de ingeniería social mediante anuncios y madurez técnica.

Las consecuencias para los usuarios incluyen pérdida de control sobre dispositivos y finanzas, además de riesgos para los sistemas bancarios. La industria enfrenta la necesidad de fortalecer la protección móvil, incluido el análisis de comportamiento y el bloqueo de superposiciones. Los reguladores de Meta ya están respondiendo a los anuncios de phishing, pero la erradicación completa requiere cooperación entre plataformas.

Google AdInline article slot

Globalmente, esto refleja una tendencia hacia la monetización de infecciones a través de infraestructuras. Según analistas, troyanos similares podrían duplicar las ganancias de los cibercriminales debido a la multifuncionalidad.

— Editorial Team

Advertisement 728x90

Leer después