미락스: 스캐머의 프록시 인프라로 변모한 안드로이드 트로이목마
새로운 미락스 (Mirax) 맬웨어는 데이터 도난 및 원격 접근 제공을 넘어 감염된 기기를 프록시 노드로 활용합니다. 이를 통해 공격자는 트래픽을 은닉하고 공격 인프라를 확장하여 사기 수법의 효과를 높입니다.
배포 및 위협 은폐
미락스는 IPTV, 비디오 스트리밍, IoT 기기 및 엔터테인먼트 소프트웨어 앱으로 위장한 피싱 APK 파일을 통해 확산됩니다. Meta 플랫폼에 스페인어권 사용자를 대상으로 광고가 노출되며, 캠페인은 수십만 계정을 대상으로 모바일 기기 검증을 거쳐 GitHub Releases로 링크를 발급합니다.
플랫폼 접근은 러시아어 커뮤니티의 검증된 파트너로 제한되어 노출 위험을 최소화합니다. 이 모델은 유출 가능성을 줄이고 위협 수명을 연장합니다.
맬웨어 기능
설치 후 미락스는 운영자에게 완전한 제어권을 제공합니다:
- 화면 시청 및 관리;
- 앱 실행;
- SMS 수집 및 클립보드 데이터;
- 잠금 화면 정보 (PIN, 그래픽 키, 생체 인식 포함).
자격 증명을 탈취하기 위해 은행 및 암호화폐 애플리케이션 위에 HTML 오버레이가 로드됩니다. 이는 표준 은행 트로이목마 기법이지만, 미락스는 추가 기능을 갖췄습니다.
고유한 프록시 기능
핵심 혁신은 장치를 거주형 프록시로 만드는 SOCKS5 및 Yamux 통합입니다. 공격자는 피해자의 IP를 통해 트래픽을 라우팅하여 지리적 차단 및 부정 방지 시스템을 우회합니다.
이 방식은 직접적인 사기뿐만 아니라 감염된 스마트폰의 활용 범위를 확대합니다. 장치는 DDoS, 스캔 또는 기타 작업을 위한 봇넷에 통합되어 각 감염의 수익성을 높입니다.
핵심 포인트
- 미락스는 감시, 데이터 도난, 프록시 기능을 하나로 결합하며 안드로이드 위협을 진화시켰습니다;
- 캠페인 도달률은 라틴아메리카에서 20만 개 계정을 초과했습니다;
- 제한된 플랫폼 접근은 운영 비밀을 강화합니다;
- 프록시 노드는 탐지를 줄이고 공격 시나리오를 확장합니다;
- 이러한 위협의 성장은 인프라 공격으로의 전환을 시사합니다.
배경 및 결과
이전에는 프록시 봇넷이 IoT 및 저가 가전제품과 연관되어 있었습니다. 이제 미락스와 같은 본격적인 트로이목마는 이 모델을 프리미엄 스마트폰으로 가져와 규모와 수익성을 높였습니다. 성공 요인은 광고를 통한 사회공학적 기법과 기술적 성숙도의 결합에 있습니다.
사용자에게는 기기 및 금융 통제력 상실, 은행 시스템 위험이 따릅니다. 업계는 행동 분석 및 오버레이 차단을 포함한 모바일 보호 강화를 필요로 합니다. Meta 규제 기관들은 이미 피싱 광고에 대응하고 있으나, 완전한 근절에는 크로스 플랫폼 협력이 필요합니다.
전 세계적으로 이는 인프라를 통해 감염을 수익화하는 추세를 반영합니다. 분석가에 따르면 유사한 트로이목마는 다기능성으로 인해 사이버 범죄자의 수익을 두 배로 늘릴 수 있습니다.
— Editorial Team
아직 댓글이 없습니다.