Cleafyのサイバーセキュリティ研究者たちが、Miraxという洗練されたAndroid遠隔アクセストロイの木馬(RAT)およびバンキングマルウェアを発見しました。これは地下のサイバー犯罪を揺るがしています。
2025年12月にダークウェブフォーラムで最初に宣伝されたMiraxは、2026年3月にスペイン語話者を狙ったキャンペーンを通じて明らかになりました。
オープンなMalware-as-a-Service(MaaS)ツールとは異なり、Miraxは審査済みのロシア語話者のアフィリエイトに限定された排他的クラブを運営しています。この厳密な管理は、そのステルス性と成功率を高めています。
攻撃者はFacebookとInstagramのMetaの広告を通じてMiraxを推し進め、スポーツストリーミング用の偽のIPTVアプリで被害者を誘い込みます。これらの広告は主にスペインで200,000以上のアカウントに到達しました。
ランディングページはHTTPヘッダーを通じてモバイルブラウザをチェックし、スキャナーをブロックします。ドロッパーはGitHub Releasesでホストされ、ハッシュは毎日交換されますが、検出回避のコードは同じです。
インストール後、Golden Encryption(GoldCrypt)でパックされたドロッパーはWebSocketsを通じてアンパックされます。暗号化された.dexファイルをネストされた難読化フォルダパスに隠します。
ハードコードされたキーでのRC4復号化はペイロードを明かし、res/raw/から最終APKをXORアンパックします。テストされたサンプルではリモートダウンロードはありませんが、ビルダードキュメントがそれを示唆しています。
インストール後、Miraxはビデオプレーヤーのふりをします。アクセシビリティサービスを要求した後、画面をロックするために偽のHTMLエラーページと黒いオーバーレイを表示します。
永続性が開始され、3つのWebSockets経由で本国に連絡します:ポート8443はコマンド用、8444はデータ流出用、8445はYamuxマルチプレックス上でのプロキシトンネリング用です。
Miraxのビルダーは、VirboxまたはGoldCryptパッキング、およびオーバーレイ用のカスタムWebView HTMLを提供します。
スペインの銀行と暗号ウォレットを含む182個のアプリをターゲットにしています。テンプレートはC2から動的にプッシュされ、共有された「ゲート」サーバーがトラフィックをプロキシし、実際のC2を隠します。
プロキシは部分的な感染で輝き、ユーザーがアクセシビリティをスキップした場合でも、攻撃者はIPスプーフィング、DDoS、またはスプレー攻撃用の帯域幅を取得できます。
C2は双方向WebSocketsを使用します。デバイスはハートビートステータスを送信し、サーバーはConfigをプッシュします。ドキュメントはアプリの制限によるCIS国のブロックに言及しています。
過去のプロキシボットはIoTに影響を与えました。Miraxはそれをプレミアムバンキングマルウェアのレベルに引き上げます。まだアクティブなプロキシの使用は見られていませんが、価格帯は将来のボットネット販売を強く示唆しています。
翻訳元: https://cyberpress.org/android-malware-builds-proxy-network/