Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

220.000 корисници таргетирани: Андроид Mirax RAT злоупотребува Meta реклами

Објавено: 15.04.2026

Нов Андроид remote access trojan (RAT) наречен Mirax е забележан како активно таргетира земји од шпанското говорно подрачје, со кампањи кои достигнале повеќе од 220.000 сметки на Facebook, Instagram, Messenger и Threads преку реклами на Meta.

„Mirax интегрира напредни можности на Remote Access Trojan (RAT), овозможувајќи им на заканувачките актери целосна интеракција со компромитирани уреди во реално време,“ соопшти италијанската компанија за спречување онлајн измами Cleafy.

„Покрај традиционалното RAT однесување, Mirax ја зголемува својата оперативна вредност со тоа што ги претвора инфицираните уреди во residential proxy јазли. Со користење на SOCKS5 протокол и Yamux мултиплексирање, воспоставува постојани proxy канали кои им овозможуваат на напаѓачите да го насочуваат својот сообраќај преку вистинската IP адреса на жртвата.“

Деталите за Mirax првпат се појавија минатиот месец кога KrakenLabs на Outpost24 откри дека заканувачки актер со име „Mirax Bot“ рекламира приватна malware-as-a-service (MaaS) понуда на подземни форуми за 2.500 долари за тримесечна претплата. Достапна е и полесна верзија за 1.750 долари месечно, која отстранува одредени функции како proxy и можноста за заобиколување на Google Play Protect со користење на crypter.

Како и друг Андроид маливер, Mirax поддржува крадење на тастатурни внесови (keystrokes), крадење фотографии, собирање информации за заклучен екран, извршување команди, навигација низ корисничкиот интерфејс и следење на активноста на компромитираниот уред. Исто така може динамички да презема HTML overlay страници од command-and-control (C2) сервер за прикажување преку легитимни апликации со цел кражба на креденцијали.

Инкорпорирањето на SOCKS proxy, од друга страна, е релативно помалку позната функција која го издвојува од класичното RAT однесување. Овој proxy ботнет нуди неколку предности бидејќи им овозможува на напаѓачите да ги заобиколат геолокациските ограничувања, да избегнат системи за детекција на измами и да извршуваат преземање на сметки или финансиски измами со зголемена анонимност и „легитимност“.

„За разлика од типичните MaaS понуди, Mirax се дистрибуира преку високо контролирана и ексклузивна шема, ограничена на мал број партнери,“ изјавија истражувачите Алберто Гиуст, Алесандро Стрино и Федерико Валентини. „Пристапот очигледно е приоритизиран за руски говорни актери со воспоставена репутација во подземните заедници, што укажува на намерен обид за одржување на оперативна безбедност и ефективност на кампањите.“

Ланците на напади што го дистрибуираат малициозниот софтвер користат Meta реклами за промоција на dropper апликации преку веб-страници, измамувајќи корисници да ги преземат. Забележани се најмалку шест реклами кои активно промовираат стриминг сервис со бесплатен пристап до спорт во живо и филмови. Од нив, пет се насочени кон корисници во Шпанија. Една од рекламите, која започнала на 6 април 2026 година, има досег од 190.987 сметки.

URL-адресите на dropper апликациите имплементираат повеќе проверки за да се осигурат дека се пристапува од мобилни уреди и за да спречат автоматизирани скенови да ја откријат нивната вистинска природа. Имињата на малициозните апликации се наведени подолу:

  • StreamTV (org.lgvvfj.pluscqpuj или org.dawme.secure5ny) – dropper апликација
  • Reproductor de video (org.yjeiwd.plusdc71 или org.azgaw.managergst1d) – Mirax

Забележлив аспект на кампањата е користењето на GitHub за хостирање на малициозните APK датотеки. Дополнително, панелот за градење (builder panel) овозможува избор помеѓу два crypter-и – Virbox и Golden Crypt (познат и како Golden Encryption) – за подобрена заштита на APK-датотеките.

Откако ќе се инсталира, dropper-от им наложува на корисниците да дозволат инсталација од непознати извори за да се распакува и инсталира маливерот. Процесот на извлекување на финалниот payload е „софистицирана, повеќестепена операција“ дизајнирана да ги заобиколи безбедносните анализи и автоматизираните sandbox алатки.

Малициозниот софтвер, откако ќе се инсталира на уредот, се маскира како алатка за репродукција на видео и ја поттикнува жртвата да овозможи accessibility services, со што му се овозможува да работи во позадина, да прикажува лажна порака за грешка дека инсталацијата не успеала и да прикажува лажни преклопни екрани (overlays) за да ги сокрие малициозните активности.

Исто така воспоставува повеќе двонасочни C2 канали за задачи и ексфилтрација на податоци:

  • WebSocket на порт 8443 – за управување со далечински пристап и извршување команди
  • WebSocket на порт 8444 – за далечинско стримување и ексфилтрација на податоци
  • WebSocket на порт 8445 (или прилагодена порта) – за поставување residential proxy преку SOCKS5

„Ова спојување на RAT и proxy способности одразува поширока промена во пејзажот на закани,“ изјави Cleafy. „Додека злоупотребата на residential proxy историски е поврзана со компромитирани IoT уреди и евтин Андроид хардвер како smart TV уреди, Mirax означува нова фаза со вградување на оваа функционалност во целосно развиен banking trojan.“

„Овој пристап не само што го зголемува потенцијалот за монетизација на секоја инфекција, туку и го проширува оперативниот опсег на напаѓачите, кои сега можат да ги користат компромитираните уреди и за директна финансиска измама и како инфраструктура за пошироки сајбер-криминални активности.“

Ова откритие доаѓа во време кога Breakglass Intelligence објави детали за арапско-јазичен Андроид RAT наречен ASO RAT, кој се дистрибуира преку апликации маскирани како PDF читачи и сириски владини апликации.

„Платформата овозможува целосна компромитација на уредот – пресретнување на SMS пораки, пристап до камера, GPS следење, логирање повици, ексфилтрација на фајлови и DDoS напади од уредите на жртвите,“ соопшти компанијата. „Панел со повеќе корисници и контрола базирана на улоги сугерира дека ова функционира како RAT-as-a-Service или поддржува тим од повеќе оператори.“

Во моментов не е познато кои се точните цели на кампањата, но мамките поврзани со Сирија (на пр. SyriaDefenseMap и GovLens) сугерираат дека можеби таргетира лица заинтересирани за сириски воени или владини прашања, како дел од сомнителна шпионска операција.

Извори:

  • The Hacker News – Mirax Android RAT Turns Devices into SOCKS5 Proxies, Reaching 220,000 via Meta Ads The Hacker News