Россиян предупредили о трояне Mirax для Android, превращающий устройства в резидентные прокси-серверы

Исследователи из компании Cleafy выяснили, что троян Mirax для Android сочетает функции удалённого доступа с возможностями резидентного прокси-сервера, превращая заражённые телефоны в узлы чужой инфраструктуры. Рекламные кампании, через которые он распространялся, охватили больше 200 тысяч аккаунтов в социальных сетях.

Mirax работает по закрытой модели «вредоносное ПО как услуга» и доступен лишь узкому кругу аффилированных лиц. Cleafy расценивает это как намеренный выбор, где меньше участников означает меньше шума и выше шансы остаться незамеченными.

Попав на устройство, троян даёт атакующим полный контроль в режиме реального времени. Он выполняет команды, следит за активностью пользователя и подгружает с серверов управления поддельные наложения поверх настоящих приложений. Человек думает, что вводит данные в банковское приложение, а на деле отдаёт их злоумышленникам. Наложения загружаются динамически, что серьёзно затрудняет обнаружение трояна защитными программами.

Следить Mirax умеет очень плотно. Он непрерывно пишет всё, что набирает пользователь, и собирает данные с экрана блокировки, включая структуру PIN-кода и сведения о использовании биометрии. Всё это позволяет копить учётные данные и личную информацию, не вызывая лишних подозрений.

Распространяется троян через вредоносную рекламу в социальных сетях, которая продвигает нелегальные приложения для просмотра IPTV и стриминга. Пользователя убеждают скачать программу из стороннего магазина приложений, после чего дроппер делает своё дело. Само вредоносное ПО хранится на GitHub и регулярно обновляется, а перед установкой проверяет устройство на признаки автоматического анализа, чтобы не попасться в ловушку исследователей.

После установки троян расшифровывает скрытые данные и поднимает каналы связи через WebSockets. Через них атакующие управляют устройством удалённо и забирают всё, что успело накопиться.