Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles RAT Mirax

RAT Mirax

Par Mezo en Logiciels malveillants mobiles, Outils d'administration à distance
Se traduisent par :

Un nouveau cheval de Troie d'accès à distance pour Android, Mirax, cible activement les régions hispanophones via des campagnes de grande envergure sur les réseaux sociaux. Les cybercriminels ont utilisé des publicités sur des plateformes telles que Facebook, Instagram, Messenger et Threads, touchant plus de 220 000 comptes. Cette large diffusion révèle une volonté délibérée d'exploiter des écosystèmes publicitaires de confiance pour distribuer des logiciels malveillants.

Fonctionnalités avancées de télécommande

Mirax est un cheval de Troie d'accès à distance (RAT) très performant, offrant aux attaquants un contrôle total et en temps réel des appareils compromis. Ses fonctionnalités dépassent celles d'un RAT classique, permettant la surveillance et l'interaction avec les systèmes infectés de manière très précise. Il peut notamment enregistrer les frappes au clavier, exfiltrer des photos, collecter les données de l'écran de verrouillage, exécuter des commandes, naviguer dans l'interface et surveiller en continu l'activité de l'utilisateur.

De plus, le logiciel malveillant peut récupérer et afficher des superpositions HTML dynamiques à partir de son infrastructure de commande et de contrôle (C2), facilitant la collecte d'identifiants via des interfaces trompeuses.

Transformer les victimes en infrastructure proxy

L'une des caractéristiques principales de Mirax est sa capacité à transformer les appareils infectés en nœuds proxy résidentiels. Grâce à la prise en charge du protocole SOCKS5 et au multiplexage Yamux, le logiciel malveillant établit des canaux proxy persistants qui acheminent le trafic des attaquants via des adresses IP légitimes d'utilisateurs. Cette fonctionnalité permet aux cybercriminels de contourner les restrictions de géolocalisation, d'échapper aux mécanismes de détection de fraude et de mener des activités malveillantes telles que la prise de contrôle de comptes avec un anonymat et une crédibilité accrus.

Logiciel malveillant en tant que service avec accès exclusif

Mirax est commercialisé comme une offre de logiciel malveillant en tant que service (MaaS) sous le nom de « Mirax Bot ». L'accès à la version complète est proposé à 2 500 $ pour un abonnement de trois mois. Parallèlement, une version allégée est disponible à 1 750 $ par mois, dépourvue de fonctionnalités telles que le proxy et le contournement de Google Play Protect. Contrairement aux plateformes MaaS classiques, la distribution est strictement contrôlée et réservée à un groupe restreint d'affiliés, principalement des acteurs russophones jouissant d'une bonne réputation sur les forums clandestins. Cette exclusivité témoigne d'une volonté de privilégier la sécurité opérationnelle et l'efficacité des campagnes sur le long terme.

Ingénierie sociale par le biais de la publicité malveillante

La chaîne d'infection repose en grande partie sur des campagnes publicitaires trompeuses hébergées sur des plateformes Meta. Ces publicités font la promotion de services de streaming frauduleux proposant un accès gratuit à des événements sportifs et des films en direct, incitant les utilisateurs à télécharger des applications malveillantes. Plusieurs publicités ont été identifiées, ciblant principalement les utilisateurs espagnols. Une seule campagne, lancée le 6 avril 2026, a touché près de 191 000 utilisateurs, démontrant l'ampleur et l'efficacité de cette stratégie de diffusion.

Techniques sophistiquées de livraison et d’évasion

Mirax utilise un processus d'infection en plusieurs étapes conçu pour échapper à la détection et à l'analyse. Les applications d'installation sont distribuées via des pages web qui imposent des contrôles d'accès stricts, garantissant ainsi que seuls les utilisateurs mobiles peuvent y accéder tout en bloquant les analyses de sécurité automatisées. Les fichiers APK malveillants sont hébergés sur GitHub, se fondant ainsi parfaitement dans l'infrastructure légitime.

Une fois exécuté, le programme d'installation invite les utilisateurs à autoriser l'installation d'applications provenant de sources inconnues, déclenchant ainsi un processus complexe d'extraction de données conçu pour contourner les systèmes de sécurité et le sandboxing. Le logiciel malveillant se fait ensuite passer pour une application de lecture vidéo et demande les autorisations d'accès aux services d'accessibilité, ce qui lui confère un contrôle étendu sur le fonctionnement de l'appareil tout en s'exécutant discrètement en arrière-plan. Un faux message d'erreur d'installation s'affiche pour tromper les utilisateurs, tandis que des superpositions malveillantes masquent l'activité en cours.

La campagne a utilisé plusieurs identités d'application trompeuses :

StreamTV (org.lgvvfj.pluscqpuj ou org.dawme.secure5ny) – fonctionnant comme le dropper

Reproductor de video (org.yjeiwd.plusdc71 or org.azgaw.managergst1d) – delivery the Mirax payload

Architecture de commande et de contrôle et canaux de communication

Mirax établit plusieurs canaux de communication bidirectionnels avec ses serveurs C2, permettant une exécution efficace des tâches et l'exfiltration de données. Différentes connexions WebSocket sont utilisées à des fins opérationnelles spécifiques.

  • Le port 8443 gère l'accès à distance et l'exécution des commandes.
  • Le port 8444 prend en charge la diffusion à distance et l'exfiltration de données.
  • Le port 8445 (ou des ports personnalisés) facilite les opérations de proxy résidentiel basées sur SOCKS5.

Cette architecture segmentée améliore la fiabilité et la flexibilité opérationnelle tout en compliquant les efforts de détection.

Une nouvelle phase dans les opérations cybercriminelles

L'intégration des technologies d'accès à distance (RAT) et des proxys résidentiels marque une évolution majeure dans la conception des menaces mobiles. Historiquement, les botnets utilisant des proxys étaient associés à des objets connectés compromis ou à du matériel Android bon marché, comme les téléviseurs connectés. Mirax représente un tournant : ces fonctionnalités sont désormais intégrées à des chevaux de Troie bancaires complets, ce qui accroît considérablement la valeur de chaque infection et la polyvalence des opérations des attaquants.

En combinant des mécanismes de fraude financière avec une infrastructure de proxy, Mirax permet aux acteurs malveillants d'exploiter simultanément leurs victimes directement et d'utiliser leurs appareils comme actifs dans des écosystèmes cybercriminels plus vastes.

 

Tendance

Arnaque par e-mail concernant la sécurité des...

Hameçonnage, Courrier indésirable
Dans le contexte actuel des menaces informatiques, le courrier électronique demeure l'un des vecteurs d'attaque les plus fréquents. Les utilisateurs doivent rester vigilants face aux messages inattendus, en particulier ceux qui exigent une action immédiate. Nombre de ces courriels sont des arnaques élaborées, et il est essentiel de comprendre qu'ils ne sont associés à aucune entreprise,...

Demande de désactivation de compte de messagerie -...

Hameçonnage, Courrier indésirable
Dans le contexte actuel des menaces informatiques, il est crucial de rester vigilant face aux courriels inattendus. Les cybercriminels exploitent l'urgence, la peur et l'imitation pour inciter les utilisateurs à prendre des décisions hâtives. L'escroquerie dite « Demande de désactivation de compte de messagerie » illustre parfaitement la facilité avec laquelle les attaquants peuvent imiter des...

Le plus regardé

Chargement...