Retour à l'accueil

Mirax : trojan proxy pour Android vole les données et le trafic

Mirax est un nouveau trojan Android combinant vol de données, accès à distance et fonctions proxy via SOCKS5. Distribué via des publicités sur Meta, ciblant l'Amérique latine. L'analyse montre la croissance des menaces d'infrastructure pour les appareils mobiles.

Mirax sur Android : du vol de données aux botnets proxy
Advertisement 728x90

Mirax : le cheval de Troie Android transforme les smartphones en proxys pour les escrocs

Le nouveau malware Mirax pour Android ne se contente pas de voler des données et d'offrir un accès à distance ; il utilise également les appareils infectés comme nœuds proxy. Cela permet aux attaquants de masquer le trafic et d'étendre leur infrastructure d'attaque, augmentant l'efficacité des arnaques.

Distribution et Masquage de la Menace

Mirax se propage via des fichiers APK de phishing déguisés en applications IPTV, streaming vidéo, IoT et divertissement. Les publicités apparaissent sur les plateformes Meta, ciblant les utilisateurs hispanophones. Les campagnes couvrent des centaines de milliers de comptes, vérifiant les appareils mobiles avant d'émettre des liens vers GitHub Releases.

L'accès à la plateforme est restreint aux partenaires vérifiés issus de communautés russophones, minimisant les risques d'exposition. Ce modèle réduit la probabilité de fuites et prolonge le cycle de vie de la menace.

Google AdInline article slot

Fonctionnalités du Malware

Après installation, Mirax offre aux opérateurs un contrôle total :

  • Visionnage et gestion de l'écran ;
  • Lancement d'applications ;
  • Collecte de SMS et du presse-papier ;
  • Informations de l'écran de verrouillage, y compris PIN, clé graphique et biométrie.

Pour voler les identifiants, des superpositions HTML sont chargées au-dessus des applications bancaires et crypto. C'est une technique standard de trojan bancaire, mais Mirax se distingue par des capacités supplémentaires.

Fonction Proxy Unique

L'innovation clé est l'intégration de SOCKS5 et Yamux pour transformer l'appareil en proxy résident. Les attaquants routent le trafic via l'IP de la victime, contournant les géoblocages et les systèmes antifraude.

Google AdInline article slot

Ce schéma étend l'utilisation des smartphones infectés au-delà de la fraude directe. Les appareils s'intègrent dans des botnets pour DDoS, scan ou autres opérations, augmentant la rentabilité de chaque infection.

Points Clés

  • Mirax fait évoluer les menaces Android, combinant surveillance, vol de données et fonctions proxy dans un seul package ;
  • La portée de la campagne dépasse 200 000 comptes en Amérique latine ;
  • Un accès limité à la plateforme améliore le secret opérationnel ;
  • Les nœuds proxy réduisent la détection et élargissent les scénarios d'attaque ;
  • La croissance de telles menaces signale un changement vers les attaques d'infrastructure.

Contexte et Conséquences

Auparavant, les botnets proxy étaient associés à l'IoT et aux gadgets bon marché. Maintenant, des trojans complets comme Mirax apportent ce modèle aux smartphones haut de gamme, augmentant l'échelle et la rentabilité. Les raisons du succès résident dans la combinaison d'ingénierie sociale via les publicités et de maturité technique.

Conséquences pour les utilisateurs : perte de contrôle sur les appareils et finances, plus risques pour les systèmes bancaires. L'industrie doit renforcer la protection mobile, incluant analyse comportementale et blocage des superpositions. Les régulateurs Meta réagissent déjà aux publicités de phishing, mais l'éradication complète nécessite une coopération interplateforme.

Google AdInline article slot

Globalement, cela reflète une tendance à monétiser les infections via l'infrastructure. Selon les analystes, des trojans similaires pourraient doubler les profits des cybercriminels grâce à la multifonctionnalité.

— Editorial Team

Advertisement 728x90

Lire ensuite