Un incipiente troyano de ataque remoto para Android llamado mirax Se ha observado que se dirige activamente a países de acento hispana, con campañas que llegan a más de 220.000 cuentas en Facebook, Instagram, Messenger y Threads a través de anuncios en Meta.
“Mirax integra capacidades avanzadas de troyano de ataque remoto (RAT), lo que permite a los actores de amenazas interactuar completamente con los dispositivos comprometidos en tiempo positivo”, dijo la firma italiana de prevención de fraude en crencha Cleafy.
“Más allá del comportamiento tradicional de RAT, Mirax progreso su valencia operante al convertir los dispositivos infectados en nodos proxy residenciales. Aprovechando el soporte del protocolo SOCKS5 y la multiplexación Yamux, establece canales proxy persistentes que permiten a los atacantes enrutar su tráfico a través de la dirección IP positivo de la víctima”.
Los detalles de Mirax surgieron por primera vez el mes pasado cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado “Mirax Bot” había estado anunciando una ofrecimiento privada de malware como servicio (MaaS) en foros clandestinos por 2.500 dólares por una suscripción de tres meses. Igualmente está adecuado por $ 1,750 por mes una variable liviana que elimina ciertas funciones como el proxy y la capacidad de callar Google Play Protect usando un oculto.
Al igual que otros programas maliciosos de Android, Mirax admite la capacidad de capturar pulsaciones de teclas, robar fotos, compilar detalles de la pantalla de corte, ejecutar comandos, navegar por la interfaz de agraciado y monitorear la actividad del agraciado en el dispositivo comprometido. Igualmente puede recuperar dinámicamente páginas HTML superpuestas desde un servidor de comando y control (C2) para representarlas en aplicaciones legítimas para el robo de credenciales.
La incorporación de un proxy SOCKS, por otro banda, es una característica relativamente menos conocida que lo distingue del comportamiento RAT convencional. La botnet proxy ofrece varias ventajas porque permite a los actores de amenazas eludir las restricciones basadas en la geolocalización, evitar los sistemas de detección de fraude y realizar apropiaciones de cuentas o fraudes en transacciones bajo la apariencia de un viejo anonimato y licitud.
“A diferencia de las ofertas típicas de MaaS, Mirax se distribuye a través de un maniquí exclusivo y en gran medida controlado, acotado a un pequeño número de afiliados”, dijeron los investigadores Alberto Giust, Alessandro Strino y Federico Valentini. “El ataque parece tener prioridad para los actores de acento rusa con reputación establecida en las comunidades clandestinas, lo que indica un esfuerzo deliberado para surtir la seguridad operativa y la eficiencia de la campaña”.
Las cadenas de ataque que distribuyen el malware utilizan metaanuncios para promocionar páginas web de aplicaciones de cuentagotas, engañando a los usuarios desprevenidos para que las descarguen. Se han observado hasta seis anuncios que anuncian activamente un servicio de transmisión por secuencias con ataque sin cargo a deportes y películas en vivo. De ellos, cinco anuncios están dirigidos a usuarios de España. Uno de los anuncios, que comenzó a publicarse el 6 de abril de 2026, tiene un radio de 190.987 cuentas.
Las URL de la aplicación cuentagotas implementan una serie de comprobaciones para avalar que se acceda a ellas desde dispositivos móviles y para evitar que los escaneos automáticos revelen su cierto color. Los nombres de las aplicaciones maliciosas se enumeran a continuación:
- StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – Aplicación cuentagotas
- Reproductor de vídeo (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) – Mirax
Un aspecto trascendental de la campaña es el uso de GitHub para meter los archivos APK del dropper receloso. Por otra parte, el panel de creación ofrece la posibilidad de designar entre dos criptográficos, Virbox y Golden Crypt (igualmente conocido como Golden Encryption), para una protección APK mejorada.
Una vez instalado, el dropper indica a los usuarios que permitan la instalación desde fuentes desconocidas para implementar el malware. El proceso de procedencia de la carga útil final es una “operación sofisticada de varias etapas” que está diseñada para eludir el observación de seguridad y las herramientas automatizadas de sandboxing.
El malware, luego de instalarse en el dispositivo, se hace producirse por una utilidad de reproducción de vídeo y solicita a la víctima que habilite los servicios de accesibilidad, lo que le permite ejecutarse en segundo plano, mostrar un mensaje de error fingido que indica que la instalación no tuvo éxito y mostrar superposiciones falsas para ocultar actividades maliciosas.
Igualmente establece múltiples canales C2 bidireccionales para tareas y exfiltración de datos.
- WebSocket en el puerto 8443, para resolver el ataque remoto y ejecutar comandos remotos.
- WebSocket en el puerto 8444, para resolver la transmisión remota y la exfiltración de datos.
- WebSocket en el puerto 8445 (o un puerto personalizado), para configurar el proxy residencial usando SOCKS5.
“Esta convergencia de capacidades RAT y proxy refleja un cambio más amplio en el panorama de amenazas”, dijo Cleafy. “Si perfectamente el despotismo de proxy residencial se ha asociado históricamente con dispositivos IoT comprometidos y hardware Android de bajo costo, como televisores inteligentes, Mirax marca una nueva grado al incorporar esta funcionalidad adentro de un troyano bancario con todas las funciones”.
“Este enfoque no sólo aumenta el potencial de monetización de cada infección, sino que igualmente amplía el radio operante de los atacantes, que ahora pueden usar los dispositivos comprometidos tanto para fraude financiero directo como como infraestructura para actividades cibercriminales más amplias”.
La revelación se produce cuando Breakglass Intelligence detalló un RAT Android en idioma árabe llamado ASO RAT que se distribuye a través de aplicaciones disfrazadas de lectores de PDF y aplicaciones del gobierno sirio.
“La plataforma proporciona capacidades completas de compromiso de dispositivos: interceptación de SMS, ataque a cámaras, rastreo por GPS, registro de llamadas, exfiltración de archivos y dispersión de DDoS desde los dispositivos de las víctimas”, dijo la compañía. “Un panel multiusuario con control de ataque basado en roles sugiere que esto funciona como un RAT como servicio o apoya a un equipo de múltiples operadores”.
Actualmente no se sabe cuáles son los objetivos finales exactos de la campaña, pero los señuelos con temas sirios para las aplicaciones (por ejemplo, SyriaDefenseMap y GovLens) sugieren que puede estar apuntando a individuos con interés en asuntos militares o de gobernanza sirios como parte de lo que se sospecha que es una operación de vigilancia.
