HackerNews

HackerNews
新型 Mirax 安卓远控木马将设备转为 SOCKS5 代理,通过 Meta 广告触及 22 万用户

新型 Mirax 安卓远控木马将设备转为 SOCKS5 代理,通过 Meta 广告触及 22 万用户

作者: hackernews 日期: 2026-04-15 分类: 木马, 网络安全
给文章评分:
HackerNews 编译,转载请注明出处:
 

名为Mirax的新型安卓远控木马正积极针对西班牙语国家,通过Meta广告在Facebook、Instagram、Messenger和Threads上触及超过22万个账户。
意大利在线欺诈预防公司Cleafy表示:"Mirax集成先进的远控木马功能,允许威胁行为体实时与受入侵设备完全交互。除传统远控木马行为外,Mirax通过将受感染设备转为住宅代理节点提升运营价值。利用SOCKS5协议支持和Yamux多路复用,它建立持久代理通道,允许攻击者通过受害者真实IP地址路由其流量。"
Mirax详情上月首次浮出水面,Outpost24的KrakenLabs揭示,化名"Mirax Bot"的威胁行为体一直在地下论坛以2500美元三个月订阅费广告私人恶意软件即服务(MaaS)产品。每月1750美元的轻量变种也可获得,该版本移除了代理和使用加密器绕过Google Play Protect等某些功能。
与其他安卓恶意软件类似,Mirax支持捕获按键、窃取照片、收集锁屏详情、运行命令、导航用户界面和监控受入侵设备上的用户活动。它还可从命令控制(C2)服务器动态获取HTML覆盖页面,渲染在合法应用之上用于凭证窃取。
另一方面,SOCKS代理的整合是相对鲜为人知的功能,使其与传统远控木马行为区别开来。代理僵尸网络提供多项优势,允许威胁行为体绕过基于地理位置的限制、规避欺诈检测系统,并在增加的匿名性和合法性伪装下进行账户接管或交易欺诈。
研究人员Alberto Giust、Alessandro Strino和Federico Valentini表示:"与典型MaaS产品不同,Mirax通过高度受控和独家模式分发,限于少数联盟成员。访问似乎优先提供给在地下社区有既定声誉的俄语行为体,表明刻意努力维持运营安全和活动有效性。"
分发恶意软件的攻击链使用Meta广告推广投放器应用网页,诱骗毫不知情的用户下载。观察到多达6个广告积极宣传提供免费直播体育和电影访问的流媒体服务。其中5个广告针对西班牙用户。一个始于2026年4月6日的广告触及190,987个账户。
投放器应用URL实施多项检查,确保从移动设备访问,并防止自动扫描揭示其真实面目。恶意应用名称如下:
  • StreamTV(org.lgvvfj.pluscqpuj或org.dawme.secure5ny)——投放器应用


  • Reproductor de video(org.yjeiwd.plusdc71或org.azgaw.managergst1d)——Mirax


该活动的一个显著特点是使用GitHub托管恶意投放器APK文件。此外,构建器面板提供在两个加密器——Virbox和Golden Crypt(又名Golden Encryption)——之间选择的能力,以增强APK保护。
安装后,投放器指示用户允许从未知来源安装以部署恶意软件。提取最终载荷的过程是"复杂的多阶段操作",旨在规避安全分析和自动沙箱工具。
恶意软件安装后在设备上伪装成视频播放工具,提示受害者启用无障碍服务,从而允许其在后台运行,显示虚假错误消息称安装失败,并服务虚假覆盖层以隐藏恶意活动。
它还建立多个双向C2通道用于任务分配和数据外泄:
  • 8443端口WebSocket,管理远程访问和执行远程命令


  • 8444端口WebSocket,管理远程流和数据外泄


  • 8445端口(或自定义端口)WebSocket,使用SOCKS5设置住宅代理


Cleafy表示:"远控木马和代理能力的融合反映了威胁格局的更广泛转变。虽然住宅代理滥用历史上与受入侵的物联网设备和低成本安卓硬件(如智能电视)相关,Mirax通过将此功能嵌入全功能银行木马标志着新阶段。这种方法不仅增加了每次感染的盈利潜力,还扩展了攻击者的运营范围,他们现在可以利用受入侵设备进行直接金融欺诈和作为更广泛网络犯罪活动的基础设施。"
此次披露恰逢Breakglass Intelligence详细介绍名为ASO RAT的阿拉伯语安卓远控木马,该木马通过伪装成PDF阅读器和叙利亚政府应用的应用分发。
该公司表示:"该平台提供完整设备入侵能力——短信拦截、摄像头访问、GPS追踪、通话记录、文件外泄和从受害者设备发起DDoS。具有基于角色访问控制的多用户面板表明,这作为远控木马即服务运营或支持多操作员团队。"
目前尚不清楚该活动的具体最终目标,但应用的叙利亚主题诱饵(如SyriaDefenseMap和GovLens)表明,它可能针对对叙利亚军事或治理事务感兴趣的个人,作为疑似监控行动的一部分。
 
 
 
 
消息来源:thehackernews.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文