Miraxという新しいAndroidバンキングトロイの木馬は、サイバー犯罪エコシステムで急速に勢いを増しており、強力なリモートアクセス機能と住宅用プロキシ機能を組み合わせて、被害者のスマートフォンを高価値インフラノードに変えています。
MiraxはプレミアムAndroid RATおよびバンキングマルウェアとして販売されており、攻撃者は侵害されたデバイスを完全かつリアルタイムで制御できます。
インストールされると、マルウェアはコマンドを実行し、アクセシビリティサービスを使用してユーザーインターフェイスをナビゲートし、画面をキャプチャし、目立たない方法でユーザーアクティビティを監視できます。
また、コマンド・アンド・コントロール(C2)サーバーから要求に応じて取得された高度に動的なHTMLおよびJavaScriptオーバーレイをデプロイし、正当なバンキングおよび暗号資産アプリの上にレンダリングして、認証情報、PIN、ワンタイムパスワードを収集します。
Cleafyが監視した最近のキャンペーンは、ヨーロッパのスペイン語圏のユーザーを対象とし、Facebook、Instagram、Messenger、Threadsで配信された悪意のあるMetaの広告を通じて200,000以上のアカウントに到達しました。
2025年12月に地下フォーラムで最初に宣伝されたMiraxは、厳密に管理されたMalware-as-a-Service(MaaS)モデルの下で販売され、現在、主にロシア語を話す信頼できるアフィリエイトの小規模なサークルによって使用されています。
開発者はMiraxを「プライベートMaaS」として運用し、審査済みクライアントへのアクセスを制限し、異なる機能セットを備えた完全版と「ライト」版を含む段階的なサブスクリプションプランを提供しています。
この商業構造はエンタープライズソフトウェアを反映しており、継続的な機能開発とビルダーオプション、パッカー、デプロイメントワークフローの詳細を説明するドキュメンテーションがあります。
高度な監視とキーガード
オーバーレイ以外に、Miraxは包括的なスパイウェアモジュールを含みます。アプリケーション全体でキーストロークを継続的にログし、攻撃者がデバイスのどこかに入力されたユーザー名、パスワードおよび他の機密入力をキャプチャできます。
マルウェアはまた、PINの長さ、ロック解除パターンの特性、指紋認証または顔認証などの生物認証方法の使用を含むデバイスのロック画面設定に関する詳細情報を流出させます。
これらの機能はその後の詐欺をサポートしています。攻撃者はキーログデータとキーガード情報を使用して、バンキングアプリの保護を破ることができ、アカウントをリセットするか、サポート通話中に被害者を社会工学的に操作できます。
ライブリモートアクセスと画面表示と組み合わせると、Miraxは被害者のモバイルバンキング環境の完全な乗っ取りを可能にします。
Miraxの目立つ機能は、組み込みのSOCKS5住宅用プロキシモジュールで、感染したスマートフォンをプロキシエンドポイントとして有効に再利用します。
WebSocket上のYamuxマルチプレックスと共にSOCKS5を使用すると、マルウェアは被害者の実際のIPアドレスを通じて攻撃者トラフィックをルーティングする永続的なマルチプレックストンネルを確立します。
これにより、オペレータは地理的位置制御をバイパスし、通常のユーザートラフィックに融合し、IPレピュテーションとデバイスフィンガープリントに依存する詐欺検出システムを回避できます。
Cleafyの分析によると、Miraxはコマンド制御、データ流出、プロキシトンネル用に別々のWebSocketチャネルを維持し、通常ポート8443(/control)、8444(/data)、8445(/tunnel)で動作します。
RATがすべての高リスク許可を取得することに失敗したとしても、プロキシコンポーネントはバックグラウンドで動作し続けることができ、犯罪者がアカウント乗っ取り、パスワードスプレー、またはより広範なネットワーク悪用などの活動の出口ノードとして使用することにより、部分的に侵害されたデバイスからの価値を保持できます。
マルバタイジングとGitHub乱用
現在のMiraxキャンペーンは、Meta広告に大きく依存して、IPTV違法スポーツストリーミングサービスを装ったフィッシングページへのトラフィックを駆動しており、このおとりはAndroidアプリのサイドロード慣行に既に慣れているユーザーに調整されています。
これらのランディングページは、モバイルデバイスからアクセスされていることを確認するための厳密なチェックを実行し、オペレータが自動クローラーとセキュリティスキャナーを回避するのに役立ちます。
最初のAPKはドロッパーとして機能し、GitHub Releasesでホストされ、継続的に更新され、攻撃者は既存のリリースエントリに新しいサンプルをプッシュして、自動化されたサンプル収集とハッシュベースの検出を阻害しています。
ドロッパーは実際のペイロードを暗号化された.dexファイルの奥深くに隠し、Golden Encryption(GoldCrypt)などの商用パッカーとともに、RC4およびXORベースの復号化ルーチンを使用して静的分析に抵抗しています。
アンパック後、最終的なインプラントはビデオプレーヤーに偽装し、アクセシビリティ特権をリクエストしてからバックグラウンドで実行され、その活動を隠すために偽のエラーページと黒いオーバーレイを表示しています。
Miraxは、Androidバンキングトロイがシンプルな認証情報スティーラーからRAT、スパイウェア、住宅用プロキシ機能を単一のツールに融合させるマルチパーパスプラットフォームへどのように進化しているかを示しています。
Metaの広告ネットワークやGitHubなどの信頼されたプラットフォームを悪用し、プロキシ機能をフル機能のRATに直接埋め込むことで、Miraxは攻撃者に各感染をマネタイズし、日常的なスマートフォンをターゲットとインフラの両方として武装化する新しい方法を提供しています。
セキュリティチームは、モバイル脅威防衛を強化し、デバイスからの異常なプロキシのようなトラフィックを監視し、ユーザーに対して、特に無料IPTV、ストリーミング、または「クラック」サービスを提供するソーシャルメディア広告のリンクからアプリをサイドロードするリスクについてユーザーを教育することをお勧めします。
IOCs
| SHA 256 | 名前 | パッケージ | 説明 |
|---|---|---|---|
| 53de68ebec281e7233bffc52199b22ec2dba 463eec3b29d4c399838e18daecbf |
StreamTV | org.lgvvfj.pluscqpuj | ドロッパー |
| 88e6e4a5478a3ee7bfdfc5e7614ae6f3f121 e0d470741a9cc84a111fe9b266db |
Reproductor de video | org.yjeiwd.plusdc71 | マルウェア |
| 759eed82699b86b6a792a63ccc76c2fa5ed 71720b89132abdead9753f5d7bd11 |
StreamTV | org.dawme.secure5ny | ドロッパー |
| 29577570d18409d93fa2517198354716740 b19699eb5392bfaa265f2f6b91896 |
Reproductor de video | org.azgaw.managergst1d | マルウェア |
翻訳元: https://gbhackers.com/mirax-android-rat/
