Новый троянец Mirax превращает смартфоны жертв в анонимные прокси-узлы для киберпреступников

В мире мобильных угроз наблюдается тревожная эволюция: вредоносное программное обеспечение для Android перестаёт быть лишь инструментом кражи данных и начинает выполнять двойную функцию, превращая заражённые устройства в скрытую инфраструктуру для других атак. Ярким примером этого тренда стал недавно обнаруженный троянец Mirax, который сочетает в себе функции полноценного удалённого доступа (RAT) с возможностью создания на скомпрометированном телефоне скрытого прокси-сервера. Эта комбинация открывает для злоумышленников новые возможности для обхода систем безопасности и масштабирования мошеннических операций.

Описание

Mirax представляет собой предложение в модели Malware-as-a-Service ("вредоносное ПО как услуга"), что означает его распространение и техническую поддержку преступными группами для других киберпреступников. Однако, в отличие от многих публичных MaaS, доступ к Mirax строго контролируется. С декабря 2025 года он продвигается на закрытых форумах, а доступ предоставляется лишь ограниченному кругу проверенных партнёров, часто русскоязычных, что указывает на стремление авторов сохранять оперативную скрытность и эффективность кампаний. По данным исследователей из Cleafy, активные кампании с использованием этого троянца наблюдаются с марта 2026 года, их основная цель - пользователи в испаноязычных странах, прежде всего в Испании.

Распространение вредоноса демонстрирует изощрённое использование легитимных платформ. Злоумышленники размещают рекламу в Meta* (Facebook*, Instagram*), которая предлагает скачать приложение для нелегального просмотра спортивных трансляций. Поскольку подобные программы отсутствуют в официальном магазине Google Play, пользователи психологически более готовы к установке файлов APK из ненадёжных источников. Рекламные кампании, как сообщили аналитики, достигли аудитории более чем в 200 000 аккаунтов. Вредоносный "дроппер" (установщик) размещается на сервисе GitHub Releases, где ежедневно обновляется для усложнения детектирования по хеш-суммам, а веб-страницы загрузки проверяют заголовки HTTP, чтобы показывать содержимое только мобильным устройствам и уклоняться от автоматического сканирования.

Технический анализ раскрывает многоступенчатую схему заражения. Первоначальное приложение-дроппер, замаскированное под IPTV-сервис, не содержит явного вредоносного кода. Вместо этого оно извлекает и расшифровывает с помощью алгоритма RC4 полезную нагрузку, скрытую в глубоко вложенной структуре папок со сложными названиями - это затрудняет статический анализ. После установки финальный троянец маскируется под утилиту для воспроизведения видео и запрашивает критически важные разрешения, особенно доступ к службам специальных возможностей (Accessibility Services). Получив их, зловред получает практически неограниченный контроль над устройством.

Функционал Mirax как Remote Access Trojan (RAT, троянец удалённого доступа) чрезвычайно обширен. Он включает удалённое выполнение команд, навигацию по интерфейсу, захват экрана в реальном времени (функция VNC), сбор SMS, активацию камеры и перехват всего ввода с клавиатуры. Особую опасность представляет система динамических HTML-оверлеев: троянец может подгружать с командного сервера фишинговые формы, которые накладываются поверх легитимных банковских и других приложений для кражи учётных данных. Всего в целевой список входит более 182 приложений, преимущественно испанских банков и криптобирж.

Однако ключевым нововведением Mirax, выделяющим его на фоне других Android-троянцев, является встроенная функция резидентского прокси. Используя протокол SOCKS5 и технологию мультиплексирования Yamux, троянец способен превратить заражённый смартфон в прокси-узел. Это позволяет операторам перенаправлять свой интернет-трафик через реальный IP-адрес жертвы, который выглядит как обычный резидентский адрес интернет-провайдера. Такая возможность кардинально меняет модель атаки. Во-первых, злоумышленники получают инструмент для обхода географических ограничений и систем обнаружения мошенничества, которые часто блокируют трафик с дата-центров. Во-вторых, это открывает пути для новых атак, таких как подбор паролей к учётным записям (password spraying) или распределённые атаки на отказ в обслуживании (DDoS), с высокой степенью анонимности. Более того, даже если жертва не предоставит троянцу полный доступ через службы специальных возможностей, но оставит приложение установленным, устройство может быть использовано именно как прокси-узел, что всё равно приносит преступникам выгоду.

Конвергенция возможностей продвинутого шпионского троянца и резидентского прокси в одном продукте знаменует новый этап в монетизации мобильных угроз. Для специалистов по информационной безопасности это означает необходимость пересмотра стратегий защиты. Помимо традиционных мер, таких как обучение пользователей рискам установки приложений из неизвестных источников и использование решений для мобильной безопасности (Mobile Threat Defense), требуется усилить мониторинг сетевой активности на предмет нехарактерных исходящих соединений, которые могут указывать на работу прокси-сервиса. Инцидент с Mirax наглядно показывает, что современные киберпреступники рассматривают скомпрометированные устройства не просто как источник конфиденциальных данных, но и как ценную, легитимно выглядящую сетевую инфраструктуру для расширения своего криминального бизнеса.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.