Троян Mirax заразил 220 тысяч Android-устройств через рекламу в соцсетях
3 мин
55
1
Новый Android-троян Mirax превращает смартфоны жертв в узлы SOCKS5-прокси и позволяет удалённо контролировать их в режиме реального времени. Исследователи из компании Cleafy зафиксировали его распространение через рекламу в Facebook и Instagram (соцсети принадлежат компании Meta Platforms, Inc., чья деятельность признана экстремистской и запрещена в РФ). Вредонос заразил более 220 тысяч устройств и угрожает преимущественно испаноязычным пользователям. Вредоносный трафик на заражённых устройствах маскируется под легитимную активность.
Mirax продаётся по модели malware-as-a-service (вредоносное ПО как услуга), но работает не как типичный MaaS. Разработчики ограничили доступ к трояну узким кругом аффилиатов. Такая схема снижает риск утечек и помогает дольше оставаться незамеченными. Публично вредонос продвигается на андеграундных форумах с 19 декабря 2025 года.
Атака осуществляется в несколько этапов. Пользователи видят рекламу в Meta* и переходят на фишинговые сайты. Там им предлагают скачать приложения для нелегальных трансляций спортивных событий или другие якобы полезные сервисы. Сайты открываются только на мобильных устройствах, что позволяет вредоносному ПО оставаться незамеченным при проверках с десктопов. Злоумышленники рассчитывают на то, что люди привыкли ставить APK из сторонних источников.
Сам вредонос доставляется через дропперы, которые находятся на GitHub Releases. Злоумышленники постоянно обновляют и переупаковывают файлы, чтобы обойти антивирусы. После установки дроппер запускает полезную нагрузку, накладывает обфускацию и соединяется с командным сервером через WebSockets.
Дроппер маскируется под IPTV-приложение и запрашивает у пользователя разрешение на установку из неизвестных источников. Внутри находится зашифрованный dex-файл. При запуске дроппер расшифровывает нагрузку алгоритмом RC4 с жёстко прописанным ключом. Финальный пейлоад — ещё один зашифрованный APK, который дешифруется через XOR и устанавливается на устройство.
Для упаковки используются инструменты вроде Golden Encryption. Эксперты отметили, что этот упаковщик плохо документирован, но активно применяется на подпольных форумах. Его же использовали в трояне Albiriox. Альтернативным вариантом является Virbox, но его легче обнаружить по индикаторам в коде.
После установки троян выдаёт себя за видеоплеер и запрашивает права Accessibility, предназначенные для помощи людям с ограниченными возможностями. Получив необходимое разрешение, вредонос продолжает работать в фоновом режиме. Так он демонстрирует фальшивые страницы с ошибками и использует оверлеи для перехвата данных. Далее Mirax разворачивает полный функционал RAT: контролирует экран, ворует данные, управляет приложениями и шпионит за жертвой.
Связь с командными серверами осуществляется по WebSockets, что даёт атакующим контроль в реальном времени и быструю эксфильтрацию информации. Ключевая особенность трояна — превращение заражённых устройств в резидентные прокси. Через них злоумышленники могут и дальше продолжать свою деятельность, двигаться по сетям или запускать DDoS-атаки.
Специалисты подчеркивают, что внедрение SOCKS5-функциональности в мобильный RAT является существенным усовершенствованием трояна. Резидентные прокси маскируют трафик под легитимные IP из домашних сетей. Также для работы прокси нужно меньше разрешений, чем для полноценного трояна. Даже если полное заражение не удалось, устройство всё равно можно включить в ботнет.
