Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Mirax to nowo zidentyfikowane złośliwe oprogramowanie dla systemu Android, zaliczane do kategorii RAT, czyli trojanów zdalnego dostępu. Jego możliwości wykraczają jednak poza klasyczne przejęcie urządzenia, ponieważ łączy funkcje zdalnej administracji, kradzieży danych, phishingowych nakładek ekranowych oraz budowy infrastruktury proxy SOCKS5 opartej na zainfekowanych smartfonach.
Takie połączenie sprawia, że Mirax wpisuje się w nowy etap rozwoju mobilnych zagrożeń. Zamiast służyć wyłącznie do wyłudzania danych bankowych, malware może być wykorzystywane również do ukrywania ruchu sieciowego, obchodzenia ograniczeń geolokalizacyjnych oraz wspierania kolejnych operacji cyberprzestępczych.
W skrócie
Mirax był oferowany w modelu malware-as-a-service i od końca 2025 roku pojawiał się w podziemnym ekosystemie cyberprzestępczym. W analizowanych kampaniach przestępcy wykorzystywali reklamy w mediach społecznościowych, aby kierować użytkowników na fałszywe strony dystrybuujące spreparowane aplikacje APK.
Po instalacji malware uzyskuje uprawnienia Dostępności, uruchamia komunikację w czasie rzeczywistym przez WebSocket i zapewnia operatorom szeroką kontrolę nad urządzeniem. Dodatkowo może przekształcić smartfon ofiary w rezydencjalny węzeł proxy SOCKS5, zwiększając wartość każdej infekcji z perspektywy przestępców.
- zagrożenie łączy funkcje RAT, phishingu i proxy,
- kampania obejmowała ponad 200 tysięcy kont, głównie w regionach hiszpańskojęzycznych,
- wektorem infekcji były fałszywe aplikacje instalowane spoza oficjalnych sklepów,
- malware komunikowało się z serwerami C2 przez wiele kanałów WebSocket.
Kontekst / historia
Kampania związana z Mirax pokazuje wyraźną ewolucję mobilnych zagrożeń, od prostych trojanów bankowych do bardziej rozbudowanych i modułowych platform przestępczych. Według dostępnych analiz malware było reklamowane na forach cyberprzestępczych od 19 grudnia 2025 roku, natomiast aktywne kampanie zaobserwowano od marca 2026 roku.
Istotne znaczenie ma także sposób dystrybucji. Zamiast polegać wyłącznie na spamie czy wiadomościach smishingowych, operatorzy Mirax użyli reklam na platformach społecznościowych. Ofiary trafiały na strony podszywające się pod usługi IPTV, aplikacje streamingowe lub programy multimedialne, co zwiększało szansę na ręczną instalację pakietu APK z nieznanego źródła.
Na tle wcześniejszych kampanii Mirax wyróżnia się również modelem dystrybucji. Nie był to produkt przeznaczony do masowej sprzedaży każdemu zainteresowanemu przestępcy, lecz raczej kontrolowana usługa oferowana wybranym partnerom. Taki model ogranicza ryzyko szybkiego wycieku próbek i utrudnia analizę całego zaplecza operacji.
Analiza techniczna
Technicznie Mirax wykorzystuje wieloetapowy łańcuch infekcji. Początkowym elementem jest dropper ukrywający właściwy implant i ograniczający widoczność złośliwej logiki podczas wstępnej analizy. Fałszywa aplikacja zwykle podszywa się pod narzędzie do odtwarzania wideo lub usługę IPTV, a następnie nakłania użytkownika do aktywowania instalacji z nieznanych źródeł.
W obserwowanych przypadkach dropper był hostowany w repozytoriach wydań oprogramowania, a paczki często przepakowywano i aktualizowano. Taka rotacja utrudnia wykrywanie oparte wyłącznie na hashach. Właściwy ładunek nie był przechowywany jawnie w standardowej części kodu, lecz jako zaszyfrowany plik DEX ukryty w nietypowej strukturze katalogów. Do odszyfrowania wykorzystywano mechanizm RC4 z kluczem osadzonym w kodzie.
Po odszyfrowaniu pliku DEX malware inicjowało wydobycie końcowego pakietu APK, który również przechowywano w formie zaszyfrowanej. W dodatkowej warstwie stosowano między innymi operacje XOR, co utrudniało zarówno analizę statyczną, jak i działanie zautomatyzowanych sandboxów.
Po uruchomieniu implant podszywa się pod aplikację multimedialną i żąda przyznania uprawnień Dostępności. To kluczowy moment infekcji, ponieważ właśnie te uprawnienia pozwalają na szeroką ingerencję w działanie urządzenia.
- przechwytywanie interakcji użytkownika,
- sterowanie interfejsem aplikacji,
- wyświetlanie nakładek phishingowych,
- utrzymywanie trwałości działania,
- ukrywanie części aktywności przed ofiarą.
Mirax komunikuje się z infrastrukturą dowodzenia i kontroli przez kilka kanałów WebSocket. Osobne strumienie odpowiadają za wykonywanie poleceń, transmisję danych oraz zestawianie tunelu proxy. Taka architektura sugeruje, że malware zaprojektowano do pracy interaktywnej, a nie tylko do okresowego przesyłania skradzionych informacji.
Pod względem funkcjonalnym Mirax oferuje zestaw możliwości typowych dla zaawansowanego Android RAT. Obejmuje zdalny podgląd ekranu, funkcje zbliżone do zdalnego sterowania typu VNC, zarządzanie aplikacjami, eksfiltrację danych tekstowych, obsługę nakładek HTML i JavaScript oraz funkcje szpiegowskie. Najbardziej niebezpieczny pozostaje jednak moduł proxy SOCKS5, który zamienia smartfon ofiary w rezydencjalny punkt wyjścia dla kolejnych działań przestępczych.
Konsekwencje / ryzyko
Ryzyko związane z Mirax jest wielowarstwowe. Dla użytkownika końcowego oznacza możliwość przejęcia kont, kradzieży danych uwierzytelniających, przechwycenia kodów PIN, manipulowania aplikacjami finansowymi i realizacji oszustw transakcyjnych. Uprawnienia Dostępności znacząco zwiększają skuteczność ataków, ponieważ umożliwiają aktywne sterowanie sesją użytkownika.
Z punktu widzenia organizacji skutki mogą być jeszcze poważniejsze. Zainfekowany smartfon może stać się nie tylko źródłem wycieku danych, lecz również elementem infrastruktury przestępczej. Jeśli urządzenie służy do dostępu do zasobów firmowych, komunikacji służbowej lub zatwierdzania operacji, konsekwencje mogą obejmować przejęcie kont korporacyjnych, wykorzystanie zaufanych sesji oraz nadużycie wiarygodnego adresu IP.
Funkcja rezydencjalnego proxy zwiększa również wartość operacyjną każdej infekcji. Nawet jeśli atakujący nie osiągnie natychmiastowego zysku z kradzieży danych, może monetyzować urządzenie jako część botnetu proxy. To zmienia ekonomikę ataku, ponieważ jedno zainfekowane urządzenie może jednocześnie wspierać oszustwa finansowe, ukrywanie ruchu i dalsze kampanie.
Rekomendacje
Podstawowym środkiem ochrony pozostaje ograniczenie instalacji aplikacji spoza oficjalnych sklepów oraz egzekwowanie polityk blokujących sideloading na urządzeniach firmowych. W środowiskach korporacyjnych warto stosować rozwiązania MDM lub EMM z kontrolą źródeł aplikacji, integralności urządzeń i uprawnień wysokiego ryzyka.
W praktyce zespoły bezpieczeństwa powinny zwracać szczególną uwagę na charakterystyczne symptomy takiej infekcji.
- przyznawanie uprawnień Dostępności niezweryfikowanym aplikacjom,
- nietypowe połączenia WebSocket do zewnętrznych serwerów,
- instalacje aplikacji spoza oficjalnych kanałów dystrybucji,
- oznaki overlay attacks i nadużyć mechanizmów WebView,
- nagłe zmiany w ruchu sieciowym sugerujące wykorzystanie urządzenia jako proxy.
Zespoły SOC i threat hunting powinny analizować zależności między kampaniami reklamowymi, stronami phishingowymi kierowanymi do użytkowników mobilnych oraz hostowaniem dropperów w legalnych usługach. Istotne jest także wykrywanie przepakowywanych próbek, ponieważ częsta rotacja hashy obniża skuteczność prostych mechanizmów opartych wyłącznie na wskaźnikach IOC.
Dla sektora finansowego i dostawców usług cyfrowych szczególnie ważne jest wzmacnianie systemów antyfraudowych o sygnały behawioralne wskazujące na zdalne sterowanie urządzeniem, automatyzację interfejsu oraz anomalie typowe dla ruchu pochodzącego z mobilnych węzłów proxy. Sam adres IP użytkownika nie może być już traktowany jako wystarczający wskaźnik zaufania.
Podsumowanie
Mirax jest przykładem nowej generacji mobilnego malware, w której klasyczny Android RAT połączono z funkcjonalnością rezydencjalnego proxy oraz dojrzałym modelem usługowym. Kampania pokazuje, że cyberprzestępcy coraz skuteczniej wykorzystują legalne platformy reklamowe, popularne usługi hostingowe i techniki unikania detekcji do masowego infekowania urządzeń.
Najważniejszy wniosek jest praktyczny: nowoczesne zagrożenia mobilne nie służą już wyłącznie do kradzieży danych bankowych. Coraz częściej są projektowane jako wielofunkcyjne platformy operacyjne zdolne do przejęcia urządzenia, wsparcia oszustw, ukrywania ruchu i skalowania dalszych ataków. Ochrona środowiska mobilnego powinna być więc traktowana na równi z ochroną stacji roboczych i serwerów.
Źródła
- Security Affairs – Mirax malware campaign hits 220K accounts, enables full remote control — https://securityaffairs.com/190842/uncategorized/mirax-malware-campaign-hits-220k-accounts-enables-full-remote-control.html
- Cleafy Labs – Mirax: a new Android RAT turning infected devices into potential residential proxy nodes — https://www.cleafy.com/cleafy-labs/mirax-a-new-android-rat-turning-infected-devices-into-potential-residential-proxy-nodes