Quisieron ver contenido para adultos y les vaciaron la tarjeta: Mirax busca activamente nuevas víctimas
Dispositivos infectados dejan de obedecer a su legítimo propietario.
En el mercado de malware para Android ha surgido un nuevo actor que no solo sabe robar datos y tomar el control del smartphone, sino también usar dispositivos ajenos como un conveniente nodo intermedio para nuevos ataques. Mirax ganó rápidamente popularidad en el entorno criminal y ya se hizo notar con campañas contra usuarios en países de habla hispana, donde los atacantes promocionaban aplicaciones infectadas mediante publicidad en los servicios de Meta.
Sobre el nuevo esquema informaron los especialistas de Cleafy. Según sus datos, Mirax se distribuye como un servicio cerrado para un círculo limitado de socios. El acceso a la plataforma, según las observaciones, lo obtienen en primer lugar participantes de comunidades clandestinas de habla rusa con reputación consolidada. Este enfoque ayuda a los autores del malware a ocultar mejor sus operaciones y a evitar fugas durante más tiempo.
El malware se disfraza de aplicaciones para IPTV, reproducción de vídeo, utilidades para dispositivos IoT e incluso contenido para adultos. Los usuarios son atraídos a páginas de phishing mediante anuncios en Facebook e Instagram, tras lo cual se les ofrece descargar el archivo APK desde GitHub Releases. Los enlaces verifican si la página se abre desde un dispositivo móvil para dificultar el análisis. Cleafy estima que el alcance de las campañas publicitarias detectadas supera las 200.000 cuentas.
Tras la instalación Mirax obtiene acceso a funciones de control remoto del dispositivo. Los operadores pueden ver la pantalla, controlar la interfaz, ejecutar aplicaciones, recopilar SMS, el contenido del portapapeles y datos sobre el bloqueo de la pantalla, incluidos parámetros de PIN, el patrón gráfico y la biometría. Para robar datos, Mirax descarga superposiciones HTML desde el servidor de control y las muestra sobre aplicaciones legítimas, incluidas las bancarias y las de criptomonedas.
La principal característica de la nueva campaña está relacionada con otra función. Mirax puede convertir un smartphone infectado en un nodo proxy residencial. Mediante el soporte de SOCKS5 y el mecanismo Yamux, los atacantes pueden dirigir su propio tráfico a través de la dirección IP real de la víctima.
Este esquema ayuda a evadir las restricciones geográficas, reducir el riesgo de activación de sistemas antifraude y emplear los dispositivos comprometidos no solo para fraude directo, sino también como parte de una infraestructura criminal más amplia.
Los autores del informe consideran que Mirax muestra una nueva etapa en la evolución de las amenazas para Android. Si antes los proxies residenciales se asociaban más a menudo con botnets de IoT y dispositivos Android baratos, ahora un mecanismo similar se ha integrado en un troyano bancario completo con funciones de vigilancia y acceso remoto. Este conjunto hace que cada infección resulte visiblemente más rentable para los operadores y amplía los escenarios de abuso incluso en los casos en que la toma completa del dispositivo no tuvo éxito.