Mirax RAT
Der neu entdeckte Android-Fernzugriffstrojaner Mirax zielt aktiv über groß angelegte Social-Media-Kampagnen auf spanischsprachige Regionen ab. Die Angreifer nutzten Werbung auf Plattformen wie Facebook, Instagram, Messenger und Threads und erreichten so über 220.000 Konten. Diese weite Verbreitung verdeutlicht das gezielte Bestreben, vertrauenswürdige Werbenetzwerke für die Verbreitung von Schadsoftware auszunutzen.
Inhaltsverzeichnis
Erweiterte Fernsteuerungsfunktionen
Mirax fungiert als hochleistungsfähiger Remote-Access-Trojaner (RAT) und ermöglicht Angreifern die vollständige Kontrolle über kompromittierte Geräte in Echtzeit. Seine Funktionalität geht über die Standardfunktionen eines RATs hinaus und erlaubt die Überwachung und Interaktion mit infizierten Systemen bis ins kleinste Detail. Zu den Funktionen gehören die Protokollierung von Tastatureingaben, der Diebstahl von Fotos, die Erfassung von Sperrbildschirmdaten, die Ausführung von Befehlen, die Navigation in der Benutzeroberfläche und die kontinuierliche Überwachung der Benutzeraktivitäten.
Darüber hinaus kann die Malware dynamische HTML-Overlays von ihrer Command-and-Control-Infrastruktur (C2) abrufen und anzeigen, wodurch das Sammeln von Anmeldeinformationen über irreführende Schnittstellen erleichtert wird.
Opfer in Stellvertreterinfrastruktur verwandeln
Ein charakteristisches Merkmal von Mirax ist seine Fähigkeit, infizierte Geräte in Residential-Proxy-Knoten umzuwandeln. Durch die Integration des SOCKS5-Protokolls in Kombination mit Yamux-Multiplexing etabliert die Malware dauerhafte Proxy-Kanäle, die den Datenverkehr der Angreifer über legitime Benutzer-IP-Adressen leiten. Diese Funktionalität ermöglicht es Angreifern, Geobeschränkungen zu umgehen, Betrugserkennungsmechanismen zu täuschen und schädliche Aktivitäten wie Kontoübernahmen mit erhöhter Anonymität und Glaubwürdigkeit durchzuführen.
Malware-as-a-Service mit exklusivem Zugriff
Mirax wird als Malware-as-a-Service (MaaS) unter dem Namen „Mirax Bot“ vermarktet. Der Zugriff auf die Vollversion kostet 2.500 US-Dollar für ein dreimonatiges Abonnement. Gleichzeitig ist eine abgespeckte Variante für 1.750 US-Dollar pro Monat erhältlich, die Funktionen wie Proxy-Funktionalität und die Umgehung von Google Play Protect vermissen lässt. Anders als bei typischen MaaS-Plattformen ist der Vertrieb streng kontrolliert und auf eine begrenzte Gruppe von Partnern beschränkt, hauptsächlich russischsprachige Akteure mit etabliertem Ruf in Untergrundforen. Diese Exklusivität deutet auf einen bewussten Fokus auf operative Sicherheit und nachhaltige Kampagneneffektivität hin.
Soziale Manipulation durch bösartige Werbung
Die Infektionskette basiert maßgeblich auf irreführenden Werbekampagnen auf Meta-Plattformen. Diese Anzeigen bewerben betrügerische Streaming-Dienste, die kostenlosen Zugriff auf Live-Sport und Filme versprechen und Nutzer zum Herunterladen schädlicher Anwendungen verleiten. Mehrere solcher Anzeigen wurden identifiziert, wobei der Fokus stark auf Nutzern in Spanien liegt. Allein eine Kampagne, die am 6. April 2026 startete, erreichte fast 191.000 Nutzer und verdeutlicht damit das Ausmaß und die Effektivität dieser Verbreitungsstrategie.
Ausgefeilte Zustellungs- und Ausweichtechniken
Mirax nutzt einen mehrstufigen Infektionsprozess, der darauf ausgelegt ist, Erkennung und Analyse zu umgehen. Die Schadsoftware wird über Webseiten verbreitet, die strenge Zugriffskontrollen durchführen und so sicherstellen, dass nur mobile Nutzer fortfahren können, während automatisierte Sicherheitsscans blockiert werden. Die schädlichen APK-Dateien werden auf GitHub gehostet und fügen sich so nahtlos in die legitime Infrastruktur ein.
Nach der Ausführung fordert der Dropper die Nutzer auf, die Installation aus unbekannten Quellen zu aktivieren. Dadurch wird ein komplexer Prozess zur Extraktion der Schadsoftware gestartet, der Sandboxing und Sicherheitstools umgeht. Die Malware tarnt sich anschließend als Videowiedergabe-Anwendung und fordert Berechtigungen für Bedienungshilfen an. Dadurch erhält sie umfassende Kontrolle über die Gerätefunktionen, während sie unbemerkt im Hintergrund läuft. Eine gefälschte Fehlermeldung wird angezeigt, um die Nutzer in die Irre zu führen, während schädliche Overlays die laufenden Aktivitäten verschleiern.
Die Kampagne nutzte mehrere irreführende Anwendungsidentitäten:
StreamTV (org.lgvvfj.pluscqpuj oder org.dawme.secure5ny) – fungiert als Dropper
Reproductor de video (org.yjeiwd.plusdc71 or org.azgaw.managergst1d) – delivering the Mirax payload
Kommando- und Kontrollarchitektur und Kommunikationskanäle
Mirax etabliert mehrere bidirektionale Kommunikationskanäle mit seinen C2-Servern, was eine effiziente Aufgabenausführung und Datenexfiltration ermöglicht. Für verschiedene operative Zwecke werden unterschiedliche WebSocket-Verbindungen verwendet:
- Port 8443 dient der Fernzugriffsverwaltung und der Befehlsausführung.
- Port 8444 unterstützt Remote-Streaming und Datenexfiltration.
- Port 8445 (oder benutzerdefinierte Ports) ermöglicht den Betrieb von SOCKS5-basierten Residential-Proxys.
Diese segmentierte Architektur erhöht die Zuverlässigkeit und die operative Flexibilität, erschwert aber gleichzeitig die Erkennungsbemühungen.
Eine neue Phase in den Operationen der Cyberkriminalität
Die Integration von RAT- und Residential-Proxy-Funktionen markiert eine bedeutende Weiterentwicklung im Bereich mobiler Bedrohungen. Bisher waren Proxy-Botnetze mit kompromittierten IoT-Geräten oder kostengünstiger Android-Hardware wie Smart-TVs verbunden. Mirax hingegen stellt einen Wandel hin zur Integration dieser Funktionen in vollwertige Banking-Trojaner dar, wodurch sowohl der Wert jeder Infektion als auch die Vielseitigkeit der Angreiferoperationen erheblich gesteigert werden.
Durch die Kombination von Finanzbetrugsmechanismen mit einer Proxy-Infrastruktur ermöglicht Mirax Bedrohungsakteuren, Opfer gleichzeitig direkt auszubeuten und deren Geräte als Vermögenswerte in breiter angelegten Cyberkriminalitäts-Ökosystemen zu nutzen.
