Wprowadzenie do problemu / definicja
Mirax to złośliwe oprogramowanie dla systemu Android należące do klasy RAT, czyli narzędzi umożliwiających zdalne sterowanie urządzeniem ofiary. W tej kampanii zagrożenie wykracza jednak poza typowe funkcje szpiegowskie, ponieważ malware potrafi również przekształcić telefon w węzeł proxy SOCKS5 wykorzystywany do dalszych operacji przestępczych.
Taki model działania zwiększa wartość pojedynczej infekcji. Atakujący mogą jednocześnie monitorować aktywność użytkownika, wykradać dane i używać adresu IP ofiary do maskowania własnego ruchu sieciowego.
W skrócie
- Mirax był dystrybuowany głównie w kampanii wymierzonej w użytkowników z państw hiszpańskojęzycznych.
- Do infekcji wykorzystywano reklamy promujące fałszywe serwisy streamingowe.
- Po instalacji malware uzyskiwał szerokie uprawnienia, w tym dostęp do usług dostępności.
- Najważniejszą cechą Mirax jest możliwość zestawienia trwałego proxy rezydencjalnego SOCKS5 na urządzeniu ofiary.
- Zainfekowany telefon może służyć zarówno do kradzieży danych, jak i do ukrywania innych działań cyberprzestępczych.
Kontekst / historia
Mirax nie wygląda na prostego trojana mobilnego tworzonego do jednej kampanii. Dostępne informacje wskazują, iż zagrożenie jest oferowane w modelu malware-as-a-service, co sugeruje bardziej dojrzałe zaplecze operacyjne oraz współpracę z wybranymi afiliantami.
W obserwowanej operacji cyberprzestępcy wykorzystywali reklamy w ekosystemie Meta, aby promować strony podszywające się pod legalne platformy oferujące transmisje sportowe i materiały wideo. Kampania miała docierać do szerokiego grona odbiorców, a część działań była kierowana między innymi do użytkowników w Hiszpanii.
To istotny sygnał dla branży bezpieczeństwa, ponieważ pokazuje przesunięcie od klasycznych kampanii smishingowych i fałszywych sklepów z aplikacjami w stronę nadużywania legalnych kanałów reklamowych jako elementu socjotechniki.
Analiza techniczna
Łańcuch infekcji zaczynał się od kliknięcia w reklamę, która przekierowywała użytkownika na stronę dystrybuującą droppera. Witryny te stosowały mechanizmy filtrowania ruchu, aby utrudnić analizę i prezentować adekwatny ładunek przede wszystkim użytkownikom urządzeń mobilnych. Sam dropper był udostępniany również przez zewnętrzne repozytoria plików APK.
Po uruchomieniu aplikacji ofiara była nakłaniana do zezwolenia na instalację z nieznanych źródeł. Następnie następowało wieloetapowe rozpakowanie adekwatnego payloadu. Końcowy komponent podszywał się pod narzędzie do odtwarzania wideo, prosił o aktywację usług dostępności i wyświetlał fałszywy komunikat o nieudanej instalacji, aby uśpić czujność użytkownika.
Od strony funkcjonalnej Mirax oferuje rozbudowany zestaw możliwości typowy dla zaawansowanego RAT-a. Obejmuje on przechwytywanie naciśnięć klawiszy, zbieranie zdjęć, pozyskiwanie informacji o ekranie blokady, wykonywanie poleceń, nawigowanie po interfejsie oraz monitorowanie aktywności ofiary. Malware może również pobierać dynamiczne nakładki HTML z serwera dowodzenia i wyświetlać je nad legalnymi aplikacjami w celu wyłudzania danych logowania.
Szczególnie istotna jest architektura komunikacji z infrastrukturą C2. Mirax zestawia wiele dwukierunkowych kanałów WebSocket, rozdzielając funkcje sterowania, streamingu danych i obsługi proxy. W analizowanej kampanii wskazywano wykorzystanie portu 8443 do zdalnego zarządzania, 8444 do streamingu i eksfiltracji oraz 8445 lub portu niestandardowego do uruchamiania proxy SOCKS5.
Takie podejście pozwala operatorom równolegle wykorzystywać jedno urządzenie do kilku zadań. W praktyce telefon ofiary może stać się pośrednikiem dla ruchu przestępców, co ułatwia omijanie restrykcji geolokalizacyjnych, obchodzenie systemów antyfraudowych i ukrywanie źródła kolejnych ataków.
Konsekwencje / ryzyko
Ryzyko związane z Mirax ma charakter wielowarstwowy. Na poziomie użytkownika oznacza utratę prywatności, przejęcie kontroli nad urządzeniem i możliwość kradzieży danych uwierzytelniających. Operatorzy malware mogą także prowadzić oszustwa finansowe z użyciem przejętego telefonu.
Drugim zagrożeniem jest wykorzystanie urządzenia jako elementu infrastruktury przestępczej. Adres IP ofiary może zostać użyty do ukrywania innych operacji, obchodzenia ograniczeń regionalnych lub realizacji nadużyć wobec kont internetowych. To sprawia, iż użytkownik może stać się nieświadomym pośrednikiem w przestępczej aktywności.
Z perspektywy organizacji problem staje się szczególnie poważny w modelu BYOD. jeżeli prywatne urządzenie pracownika służy także do celów służbowych, infekcja może prowadzić do wycieku danych firmowych, przejęcia sesji, naruszenia polityk dostępu i osłabienia zaufania do ruchu pochodzącego z legalnych sieci komórkowych.
Rekomendacje
Najważniejszym krokiem obronnym jest ograniczenie instalacji aplikacji spoza oficjalnych sklepów oraz blokowanie sideloadingu na urządzeniach zarządzanych przez organizację. W środowiskach korporacyjnych warto egzekwować polityki MDM lub EMM, które uniemożliwiają instalację z nieznanych źródeł i monitorują nadawanie wrażliwych uprawnień.
Szczególną uwagę należy zwrócić na usługi dostępności. Aplikacje o prostych, deklarowanych funkcjach, takie jak odtwarzacze wideo, nie powinny żądać tak szerokich uprawnień bez uzasadnienia. Z perspektywy detekcji warto monitorować aplikacje łączące żądania dostępu do usług dostępności, nakładek ekranowych i nietypowej komunikacji sieciowej.
- monitorowanie połączeń WebSocket do nietypowych portów, zwłaszcza 8443, 8444 i 8445,
- identyfikowanie aplikacji podszywających się pod narzędzia multimedialne,
- analizowanie przypadków wyświetlania komunikatu o nieudanej instalacji mimo obecności nowej aplikacji,
- wykrywanie anomalii ruchu wychodzącego sugerujących działanie lokalnego proxy,
- obserwowanie wzrostu zużycia transferu danych i baterii bez wyraźnej przyczyny.
W obszarze świadomości użytkowników trzeba podkreślać, iż reklama w popularnej platformie społecznościowej nie jest równoznaczna z bezpieczeństwem. Każda aplikacja wymagająca pobrania pliku APK i manualnej zmiany ustawień zabezpieczeń systemu powinna być traktowana jako wysokiego ryzyka.
Podsumowanie
Mirax pokazuje, jak ewoluują współczesne mobilne trojany. Łączy klasyczne funkcje RAT z mechanizmem proxy SOCKS5, przez co zainfekowany telefon staje się jednocześnie źródłem danych, narzędziem oszustwa i elementem infrastruktury do dalszych ataków.
Kampania oparta na reklamach społecznościowych potwierdza, iż legalne kanały marketingowe mogą zostać skutecznie wykorzystane jako wektor infekcji. Dla obrońców oznacza to konieczność łączenia ochrony urządzeń mobilnych, kontroli uprawnień aplikacji oraz analizy nietypowego ruchu sieciowego.
