新しく、高度なリモートアクセストロイの木馬(RAT)がヨーロッパ中のAndroidユーザーを標的にしており、詐欺管理・予防企業のCleafyが警告しています。
Miraxと呼ばれるこの脅威は、2025年12月以降、アンダーグラウンドフォーラムで宣伝されており、3月以降、複数のキャンペーンで使用されています。Mirax
この脅威は、悪意あるソフトウェアをサービスとして(MaaS)段階的なサブスクリプションプランを通じて、主にロシア語を話す脅威アクターを含む少数のアフィリエイトに配布されています。
RATの機能に加えて、MiraxはSOCKS5プロキシをデプロイすることで、感染したデバイスを住宅用プロキシノードに変えることができます。このプロキシはWebSocketベースのチャネルを介した多重化を実装し、複数の接続をサポートしています。これはCleafyで指摘されています。
配布のために、脅威アクターはFacebook、Instagram、Messenger、および同様のサービスに表示されるMetaの広告を通じてマルウェアのドロッパーページを宣伝しています。Cleafyによると、200,000人以上のユーザーが悪意のある広告を提供されています。
悪党たちはIPTVアプリケーションサービスを宣伝するウェブサイトを使用してGitHubでホストされているドロッパーにリダイレクトし、マルウェア実行にはAPKサイドロードに依存しており、悪意のあるアプリはGoogle Playを通じて配布されていません。
被害者は不明な出典からのインストールを有効にするようにだまされて悪意のあるIPTVアプリケーションを実行し、これは保護をバイパスすることを目的とした多段階の感染プロセスをトリガーします。
ペイロードはGolden Encryption(Golden Cryptとしても知られている)を使用してパックされ、悪意のあるコードを暗号化されたDalvik Executable(.dex)ファイルに隠し、インストール中にコードを復号化するために、ハードコードされた暗号キーを使用したRC4ストリーム暗号を使用します。
Miraxは認証情報の盗難のためのオーバーレイと通知インジェクションをサポートし、攻撃者がリアルタイムで画面を表示し、デバイスをナビゲートして制御し、アプリケーションを管理し、画像とテキストを流出させることを可能にします。
さらに、オペレータが2つまたは3つの異なるWebSocket接続を使用してデバイスを通じてプロキシトラフィックに対するSOCKS5プロキシ接続を起動することを可能にします。
IoTデバイスの文脈における住宅用プロキシの上昇を超えて、Miraxのようなマルウェア RATにこの機能を導入することは注意が必要な新しい機能です。分析ではこの機能の使用が明らかにされませんでしたが、RATにそれを追加する理由と銀行や同様の機関のような高度にターゲット化されたセクターへの影響を考慮することは依然として価値があります。」とCleafyは指摘しています。
翻訳元: https://www.securityweek.com/mirax-rat-targeting-android-users-in-europe/
