Mirax Android RAT перетворює смартфони на проксі-ботнет

15.04.2026 1 хвилин Автор: Newsman

Новий Android-троян Mirax активно поширюється через рекламу в соцмережах і вже охопив понад 200 тисяч користувачів. Шкідник дає зловмисникам повний контроль над пристроєм і перетворює його на проксі-вузол для атак, маскуючи трафік під реальні IP жертв.

Троян віддаленого доступу для Android під назвою Mirax лише починає набирати обертів, але вже активно атакує користувачів в іспаномовних країнах. Кампанії розповсюдження зачепили понад 220 тисяч акаунтів у Facebook, Instagram, Messenger і Threads через рекламну інфраструктуру Meta.

За даними італійської компанії Cleafy, яка спеціалізується на боротьбі з онлайн-шахрайством, Mirax дає зловмисникам повний контроль над зараженим пристроєм у режимі реального часу. Фактично це повноцінний RAT, який дозволяє не просто збирати дані, а буквально взаємодіяти зі смартфоном жертви.

Але на цьому його можливості не закінчуються. Окрім стандартної поведінки трояна, Mirax перетворює заражені пристрої на так звані «житлові» проксі. Завдяки підтримці SOCKS5 і мультиплексуванню Yamux, шкідник створює стабільні проксі-канали. Через них зловмисники можуть направляти свій трафік, використовуючи реальну IP-адресу жертви, що значно ускладнює виявлення атак.

Вперше про Mirax заговорили ще минулого місяця. Тоді дослідники з KrakenLabs (Outpost24) виявили, що під ніком «Mirax Bot» на підпільних форумах просувається модель MaaS. Повний доступ до шкідника коштує 2500 доларів за три місяці, а спрощена версія – 1750 доларів. У дешевшому варіанті відсутні деякі функції, зокрема проксі та механізми обходу Google Play Protect через криптограф.

За функціональністю Mirax виглядає як типовий Android-шкідник, але з розширеним набором можливостей. Він може:

  • перехоплювати натискання клавіш

  • красти фотографії

  • збирати дані з екрана блокування

  • виконувати віддалені команди

  • керувати інтерфейсом пристрою

  • відстежувати активність користувача

Окремо варто відзначити механізм крадіжки даних. Троян отримує HTML-сторінки з C2-сервера і накладає їх поверх легітимних додатків, маскуючи фішингові форми під справжні інтерфейси.

Вбудований проксі-функціонал – менш очевидна, але дуже важлива частина. Саме він дозволяє обходити географічні обмеження, уникати систем антифроду і проводити атаки з виглядом «чистого» користувацького трафіку. Це відкриває шлях до захоплення акаунтів і фінансового шахрайства з набагато вищим рівнем довіри.

Дослідники звертають увагу ще на один момент. На відміну від більшості MaaS-рішень, Mirax поширюється не масово, а через закриту модель. Доступ мають лише перевірені афілійовані учасники, причому пріоритет віддається російськомовним користувачам із репутацією на підпільних форумах. Це виглядає як спроба зберегти контроль над операціями і уникнути витоків.

Ланцюг зараження побудований через рекламу в Meta. Користувачам показують оголошення, які ведуть на сайти з дроппер-додатками. У ході дослідження було виявлено шість таких кампаній. П’ять із них таргетували користувачів в Іспанії, а одне оголошення, запущене 6 квітня 2026 року, охопило майже 191 тисячу акаунтів.

Щоб ускладнити аналіз, сайти з дропперами перевіряють, чи заходить користувач із мобільного пристрою, і блокують автоматичні сканери. Самі додатки маскуються під звичайні сервіси.

Наприклад:

  • StreamTV – виступає як дроппер

  • «Відтворювач відео» – уже містить сам Mirax

Ще один цікавий момент – використання GitHub для розміщення шкідливих APK-файлів. Для додаткового захисту застосовуються криптори Virbox і Golden Crypt, які ускладнюють аналіз і виявлення.

Після встановлення дроппер просить користувача дозволити інсталяцію з невідомих джерел. Далі запускається складний багатоступеневий процес завантаження основного шкідника, розроблений спеціально для обходу пісочниць і систем безпеки.

Коли Mirax уже на пристрої, він маскується під відеоплеєр і просить увімкнути служби доступності. Це дає йому можливість працювати у фоновому режимі, показувати фейкові повідомлення про помилки та накладати фальшиві інтерфейси поверх додатків.

Для зв’язку з керуючими серверами використовується кілька каналів:

  • порт 8443 – віддалене керування і виконання команд

  • порт 8444 – передача даних і стримінг

  • порт 8445 – підняття проксі через SOCKS5

За словами Cleafy, поєднання RAT-функцій і проксі – це новий етап розвитку загроз. Раніше подібні схеми частіше зустрічалися на IoT-пристроях або дешевих Android-девайсах, але тепер це вже повноцінний банківський троян із розширеною інфраструктурою.

Такий підхід дозволяє зловмисникам не лише красти гроші напряму, а й використовувати заражені пристрої як частину великої кіберзлочинної мережі.

На фоні цієї кампанії з’явилася ще одна загроза. Компанія Breakglass Intelligence повідомила про Android-шкідник ASO RAT, який поширюється через додатки, замасковані під PDF-рідери та сервіси сирійського уряду.

Ця платформа має повний набір можливостей для компрометації пристрою:

  • перехоплення SMS

  • доступ до камери

  • GPS-відстеження

  • запис дзвінків

  • вилучення файлів

  • навіть запуск DDoS-атак

Аналітики також зазначають, що система має багатокористувацьку панель із розподілом ролей, що вказує на модель RAT-as-a-Service або роботу цілої команди операторів.

Кінцеві цілі цієї кампанії поки що залишаються незрозумілими. Але використання додатків із сирійською тематикою натякає на можливу спрямованість проти людей, пов’язаних із військовими або державними структурами. Ймовірно, мова йде про операцію зі стеження.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.