Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Хотели посмотреть «клубничку» — остались без денег на карте. Mirax активно ищет новых жертв

leer en español

Mirax Android Cleafy Meta GitHub SOCKS5 банковский троян
Хотели посмотреть «клубничку» — остались без денег на карте. Mirax активно ищет новых жертв
Mirax Android Cleafy Meta GitHub SOCKS5 банковский троян

Заражённые устройства больше не подчиняются командам законного хозяина.

image

На рынке Android-вредоносов появился новый игрок, который умеет не только красть данные и перехватывать управление смартфоном, но и использовать чужие устройства как удобный промежуточный узел для новых атак. Mirax быстро набрал популярность в криминальной среде и уже отметился кампаниями против пользователей в испаноязычных странах, где злоумышленники продвигали заражённые приложения через рекламу в сервисах Meta.

О новой схеме рассказали специалисты Cleafy. По их данным, Mirax распространяют как закрытый сервис для ограниченного круга партнёров. Доступ к платформе, судя по наблюдениям, получают в первую очередь участники русскоязычных подпольных сообществ с наработанной репутацией. Такой подход помогает авторам вредоноса лучше скрывать операции и дольше избегать утечек.

Вредонос маскируют под приложения для IPTV, просмотра видео, утилиты для IoT-устройств и даже контент для взрослых. Пользователей заманивают на фишинговые страницы через рекламные объявления в Facebook и Instagram, после чего предлагают скачать APK-файл с GitHub Releases. Ссылки проверяют, открыта ли страница с мобильного устройства, чтобы затруднить анализ. Cleafy оценивает охват замеченных рекламных кампаний более чем в 200 тысяч аккаунтов.

После установки Mirax получает доступ к функциям удалённого управления устройством. Операторы могут просматривать экран, управлять интерфейсом, запускать приложения, собирать SMS, содержимое буфера обмена и сведения о блокировке экрана, включая параметры PIN-кода, графического ключа и биометрии. Для кражи данных Mirax подгружает с управляющего сервера HTML-накладки и показывает их поверх легитимных программ, в том числе банковских и криптовалютных.

Главная особенность новой кампании связана с другой функцией. Mirax умеет превращать заражённый смартфон в резидентный прокси-узел. Через поддержку SOCKS5 и механизм Yamux злоумышленники могут направлять собственный трафик через реальный IP-адрес жертвы.

Такая схема помогает обходить географические ограничения, снижать риск срабатывания антифрод-систем и использовать скомпрометированные устройства не только для прямого мошенничества, но и как часть более широкой криминальной инфраструктуры.

Авторы отчёта считают, что Mirax показывает новый этап развития Android-угроз. Если раньше резидентные прокси чаще связывали с IoT-ботнетами и дешёвыми Android-устройствами, теперь похожий механизм встроили в полноценный банковский троян с функциями слежки и удалённого доступа. Такой набор делает каждое заражение заметно выгоднее для операторов и расширяет сценарии злоупотреблений даже в случаях, когда полный захват устройства не удался.