Mirax Android RAT koristi Meta oglase za zarazu preko 220.000 korisnika
Mirax Android RAT zaražava preko 220.000 korisnika u španskojezičnim zemljama kroz Meta oglase, kombinjujući mogućnosti daljinskog pristupa sa transformacijom uređaja u anonimne proxy čvorove.
Šta se desilo?
Otkrivena je nova Android zlonamena aplikacija nazvana Mirax koja aktivno napada korisnike u španskojezičnim zemljama kroz Meta oglase. Kampanja je dostigla više od 220.000 Facebook i Instagram profila preko lažnih oglasa za streaming servise. Posebna karakteristika ovog malvera je što može transformisati inficirane uređaje u SOCKS5 proxy čvorove, omogućavajući napadačima da maskira sopstveni saobraćaj kroz legitimne IP adrese žrtava.
Koga pogađa?
Uglavnom korisnici iz Španije i drugih španskojezičnih regiona. Žrtve su primarne: mobilni korisnici koje napadači zbunjuju lažnim oglasima za besplatne streaming servise sa sportskim prenosima i filmovima. Sekundarno, Mirax se koristi kao infrastruktura za šire kriminalnih aktivnosti koje mogu pogoditi entitete čiji saobraćaj prolazi kroz kompromitovane uređaje kao proxy čvorove.
Kako se zaštititi?
- Izbegavati preuzimanje aplikacija iz neoficijalnih izvora ili preko sumnjskih oglasa
- Zabraniti instalaciju aplikacija iz nepoznatih izvora u postavkama Android uređaja
- Biti skeptičan prema oglasima koji nude besplatne premium servise
- Ne dozvoljavati pristup Accessibility Services aplikacijama koje nisu legitimne
- Redovno ažurirati Android sistem i instalirane aplikacije
- Koristiti pouzdanu antivirusnu aplikaciju sa mogućnošću detekcije malvera
- Pratiti aktivnost računa na društvenim mrežama za znakove kompromitovanja
Tehnički detalji
Mirax se distribuira kao dropper aplikacija preko Meta oglasa, sa lažnim imenima kao StreamTV i Reproductor de video. Aplikacije koriste paket identifikatore poput org.lgvvfj.pluscqpuj ili org.azgaw.managergst1d. Zlonamerna datoteka se hostuje na GitHub-u i štićena je crypto alatima Virbox i Golden Crypt. Malver se komunikuje sa command-and-control serverima preko WebSocket protokola na portima 8443, 8444 i 8445. Pored standardnog RAT ponašanja (krađa taskatura, fotografie, keylogging), Mirax implementira naprednu proxy funkcionalnost korišćenjem Yamux multipleksiranja za održavanje stabilnih kanala. Malver se maskira kao video player i zahteva omogućavanje Accessibility Services za rad u pozadini. Kao MaaS (Malware-as-a-Service), dostupna je verzija od 2.500 dolara za tromesečnu pretplatu sa punim funkcijama ili jeftinija opcija od 1.750 dolara mesečno bez proxy mogućnosti.
Preporuka Sajber Radara
Korisnici moraju biti izuzetno oprezni sa oglasima na društvenim mrežama koji nude besplatni premium sadržaj. Mirax predstavlja značajnu pretnju jer kombinuje mogućnosti daljinskog pristupa sa infrastrukturnom upotrebom za druge kriminaliste, čineći svaku infekciju veoma vrednom za napadače. Preporučujemo aktiviranje Google Play Protect zaštite, izbegavanje apk datoteka iz neznanih izvora i redovno praćenje dozvola koje aplikacije traže.
