Powrót do strony głównej

Mirax: trojan proxy dla Androida kradnie dane i ruch

Mirax — nowy Android-trojan łączący kradzież danych, zdalny dostęp i funkcje proxy przez SOCKS5. Rozprzestrzenia się przez reklamy w Meta, skierowany na Amerykę Łacińską. Analiza pokazuje wzrost infrastrukturalnych zagrożeń dla urządzeń mobilnych.

Mirax na Androidzie: od kradzieży danych do proxy-botnetów
Advertisement 728x90

Mirax: Trojan na Android zamienia smartfony w proksy dla oszustów

Nowy złośliwy program Mirax dla Androida nie tylko kradnie dane i zapewnia zdalny dostęp, ale także wykorzystuje zainfekowane urządzenia jako węzły proxy. Pozwala to przestępcom maskować ruch sieciowy i rozbudowywać infrastrukturę ataków, zwiększając skuteczność schematów oszustw.

Rozprzestrzenianie i maskowanie zagrożenia

Mirax rozpowszechnia się poprzez pliki APK typu phishingowego, zamaskowane pod aplikacje do IPTV, wideo, urządzeń IoT oraz oprogramowania rozrywkowego. Reklamy pojawiają się w serwisach Meta, skierowane do użytkowników z regionów hiszpańskojęzycznych. Kampanie obejmują setki tysięcy kont, z weryfikacją urządzeń mobilnych przed udostępnieniem linków do GitHub Releases.

Dostęp do platformy ograniczony jest dla zweryfikowanych partnerów z społeczności rosyjskojęzycznych, co minimalizuje ryzyko ujawnienia. Taka strategia zmniejsza prawdopodobieństwo wycieków i wydłuża cykl życia zagrożenia.

Google AdInline article slot

Funkcjonalność złośliwego oprogramowania

Po instalacji Mirax zapewnia operatorom pełną kontrolę:

  • Podgląd i zarządzanie ekranem;
  • Uruchamianie aplikacji;
  • Zbieranie SMS, danych ze schowka;
  • Informacje o blokadach ekranu, w tym PIN, wzór i biometria.

Do kradzieży danych logowania dołączane są nakładki HTML nad bankowymi i kryptograficznymi aplikacjami. To standardowa metoda trojanów bankowych, ale Mirax wyróżnia się dodatkowymi możliwościami.

Unikalna funkcja proxy

Kluczową innowacją była integracja SOCKS5 i Yamux do zamiany urządzenia w rezydenta proxy. Przestępcy kierują ruch przez IP ofiary, omijając blokady geograficzne i systemy antyfraudowe.

Google AdInline article slot

Taka strategia rozszerza zastosowanie zainfekowanych smartfonów poza bezpośrednie oszustwa. Urządzenia integrują się w botnetach do DDoS, skanowania lub innych operacji, zwiększając dochodowość każdej infekcji.

Co istotne

  • Mirax ewoluuje zagrożenia Android, łącząc śledzenie, kradzież danych i funkcje proxy w jednym pakiecie;
  • Zakres kampanii przekracza 200 tysięcy kont w Ameryce Łacińskiej;
  • Ograniczony dostęp do platformy wzmacnia tajemnicę operacji;
  • Węzły proxy obniżają wykrywalność i rozszerzają scenariusze ataków;
  • Wzrost podobnych zagrożeń sygnalizuje przesunięcie ku atakom infrastrukturalnym.

Kontekst i konsekwencje

Wcześniej botnety proxy kojarzono z IoT i tanimi gadżetami. Teraz pełne trojany jak Mirax przenoszą ten model na premium smartfony, co zwiększa skalę i opłacalność. Powody sukcesu – w kombinacji inżynierii społecznej przez reklamy i technicznej dojrzałości.

Konsekwencje dla użytkowników: utrata kontroli nad urządzeniem i finansami, ryzyko dla systemów bankowych. Branża staje przed koniecznością wzmocnienia ochrony mobilnej, w tym analizy behawioralnej i blokowania nakładek. Regulatorzy Meta już reagują na phishingowe reklamy, ale całkowite wyeliminowanie wymaga współpracy międzyplatformowej.

Google AdInline article slot

W skali globalnej odzwierciedla to trend monetyzacji infekcji przez infrastrukturę. Według analityków, podobne trojany mogą podwoić dochody cyberprzestępców dzięki wielofunkcyjności.

— Editorial Team

Advertisement 728x90

Czytaj dalej