Mirax: Trojan na Android zamienia smartfony w proksy dla oszustów
Nowy złośliwy program Mirax dla Androida nie tylko kradnie dane i zapewnia zdalny dostęp, ale także wykorzystuje zainfekowane urządzenia jako węzły proxy. Pozwala to przestępcom maskować ruch sieciowy i rozbudowywać infrastrukturę ataków, zwiększając skuteczność schematów oszustw.
Rozprzestrzenianie i maskowanie zagrożenia
Mirax rozpowszechnia się poprzez pliki APK typu phishingowego, zamaskowane pod aplikacje do IPTV, wideo, urządzeń IoT oraz oprogramowania rozrywkowego. Reklamy pojawiają się w serwisach Meta, skierowane do użytkowników z regionów hiszpańskojęzycznych. Kampanie obejmują setki tysięcy kont, z weryfikacją urządzeń mobilnych przed udostępnieniem linków do GitHub Releases.
Dostęp do platformy ograniczony jest dla zweryfikowanych partnerów z społeczności rosyjskojęzycznych, co minimalizuje ryzyko ujawnienia. Taka strategia zmniejsza prawdopodobieństwo wycieków i wydłuża cykl życia zagrożenia.
Funkcjonalność złośliwego oprogramowania
Po instalacji Mirax zapewnia operatorom pełną kontrolę:
- Podgląd i zarządzanie ekranem;
- Uruchamianie aplikacji;
- Zbieranie SMS, danych ze schowka;
- Informacje o blokadach ekranu, w tym PIN, wzór i biometria.
Do kradzieży danych logowania dołączane są nakładki HTML nad bankowymi i kryptograficznymi aplikacjami. To standardowa metoda trojanów bankowych, ale Mirax wyróżnia się dodatkowymi możliwościami.
Unikalna funkcja proxy
Kluczową innowacją była integracja SOCKS5 i Yamux do zamiany urządzenia w rezydenta proxy. Przestępcy kierują ruch przez IP ofiary, omijając blokady geograficzne i systemy antyfraudowe.
Taka strategia rozszerza zastosowanie zainfekowanych smartfonów poza bezpośrednie oszustwa. Urządzenia integrują się w botnetach do DDoS, skanowania lub innych operacji, zwiększając dochodowość każdej infekcji.
Co istotne
- Mirax ewoluuje zagrożenia Android, łącząc śledzenie, kradzież danych i funkcje proxy w jednym pakiecie;
- Zakres kampanii przekracza 200 tysięcy kont w Ameryce Łacińskiej;
- Ograniczony dostęp do platformy wzmacnia tajemnicę operacji;
- Węzły proxy obniżają wykrywalność i rozszerzają scenariusze ataków;
- Wzrost podobnych zagrożeń sygnalizuje przesunięcie ku atakom infrastrukturalnym.
Kontekst i konsekwencje
Wcześniej botnety proxy kojarzono z IoT i tanimi gadżetami. Teraz pełne trojany jak Mirax przenoszą ten model na premium smartfony, co zwiększa skalę i opłacalność. Powody sukcesu – w kombinacji inżynierii społecznej przez reklamy i technicznej dojrzałości.
Konsekwencje dla użytkowników: utrata kontroli nad urządzeniem i finansami, ryzyko dla systemów bankowych. Branża staje przed koniecznością wzmocnienia ochrony mobilnej, w tym analizy behawioralnej i blokowania nakładek. Regulatorzy Meta już reagują na phishingowe reklamy, ale całkowite wyeliminowanie wymaga współpracy międzyplatformowej.
W skali globalnej odzwierciedla to trend monetyzacji infekcji przez infrastrukturę. Według analityków, podobne trojany mogą podwoić dochody cyberprzestępców dzięki wielofunkcyjności.
— Editorial Team
Brak komentarzy.