Volver al Hub

El troyano Mirax para Android usa anuncios de Meta para crear una red de proxies global

Imagen generada por IA para: El troyano Mirax para Android usa anuncios de Meta para crear una red de proxies global

La amenaza Mirax: Cómo un nuevo RAT para Android usa anuncios de Meta para crear un ejército de proxies global

Los investigadores de seguridad están alertando sobre una campaña de troyano de acceso remoto (RAT) para Android que se propaga rápidamente y que utiliza un canal de distribución inquietantemente efectivo: la publicidad legítima en las plataformas de Meta. Bautizado como "Mirax", este malware ya ha infectado aproximadamente 220.000 dispositivos en todo mundo, no para robar credenciales bancarias directamente, sino para reclutarlos en una extensa red global de proxies SOCKS5: una infraestructura de botnet de alquiler con graves implicaciones para el panorama de la ciberseguridad.

Vector de infección: Publicidad maliciosa a gran escala

La infección inicial comienza con una táctica clásica de ingeniería social, potenciada por las capacidades de segmentación publicitaria de Meta. A los usuarios se les presentan anuncios atractivos en Facebook o Instagram que promocionan versiones crackeadas de software de pago popular, trucos falsos para videojuegos o aplicaciones de utilidad aparentemente legítimas. Estos anuncios redirigen a sitios web de terceros que alojan el archivo APK malicioso, a menudo disfrazado con reseñas de usuarios falsas convincentes y capturas de pantalla de aspecto profesional. El uso de una plataforma publicitaria de confianza le da un aire de legitimidad que aumenta drásticamente la tasa de clics e instalación en comparación con el phishing tradicional o los sitios de descarga sospechosos.

Capacidades técnicas: Esclavización silenciosa

Una vez instalado, Mirax solicita permisos extensos y, a menudo, oculta su icono para evitar su detección. Su funcionalidad principal es establecer una conexión persistente con un servidor de Comando y Control (C2). Tras registrarse, el dispositivo infectado se configura como un nodo proxy SOCKS5. SOCKS5 es un protocolo de internet estándar que enruta paquetes de red entre un cliente y un servidor a través de un servidor proxy, enmascarando efectivamente el origen real del tráfico.

Desde la perspectiva del usuario, el dispositivo puede mostrar una vida útil de la batería ligeramente reducida o un mayor uso de datos, pero por lo demás funciona con normalidad. Sin embargo, en segundo plano, se ha convertido en un engranaje de una máquina de anonimización masiva. Los operadores del botnet pueden vender el acceso a esta red proxy en foros clandestinos a otros cibercriminales, quienes la utilizan para una variedad de actividades ilícitas:

  • Relleno de credenciales y toma de cuentas: Lanzar ataques desde miles de direcciones IP residenciales legítimas y diferentes hace que bloquearlos por reputación geográfica o de IP sea casi imposible.
  • Fraude publicitario: Generar clics e impresiones falsas en publicidad de pago por clic desde dispositivos reales para desviar presupuestos de marketing.
  • Ataques anonimizados: Ocultar el origen de ataques contra sitios web, APIs o empresas criminales rivales.
  • Extracción de datos: Evitar límites de tasa y bloqueos basados en IP para extraer datos de sitios de comercio electrónico y redes sociales.

El panorama general: Evolución de las amenazas móviles

La campaña Mirax marca un cambio estratégico en la economía del malware móvil. En lugar del modelo de alto riesgo y alta recompensa del fraude bancario directo—que desencadena una respuesta rápida de instituciones financieras y fuerzas del orden—este modelo crea un flujo de ingresos recurrente y constante mediante la construcción de infraestructura. Los dispositivos infectados se convierten en una mercancía. Este modelo de "proxy como servicio" es más discreto y sostenible para los actores de la amenaza.

Amenaza paralela: El auge del fraude basado en NFC

Mientras Mirax construye infraestructura, otros actores de amenazas están perfeccionando técnicas para el robo financiero directo. Notablemente, en Rusia, agencias de seguridad y medios como MK.ru e Iz.ru informan de un fuerte aumento del fraude con pagos por NFC. En este esquema, los atacantes utilizan la ingeniería social—a menudo haciéndose pasar por oficiales de seguridad bancaria, encuestadores o trabajadores de caridad—para engañar a las víctimas y que desbloqueen su smartphone y lo acerquen a una terminal de pago portátil oculta con capacidades NFC.

Una vez a corta distancia (unos centímetros), el atacante puede iniciar una transacción contactless desde el teléfono de la víctima a su propia cuenta. La estafa explota la conveniencia de los sistemas de pago por aproximación, convirtiendo un momento de proximidad en una pérdida financiera significativa. Esta amenaza, aunque actualmente concentrada en una región específica, demuestra las formas creativas en que los atacantes explotan las funciones estándar del hardware móvil.

Estrategias de mitigación y defensa

Para las empresas, el botnet Mirax representa una amenaza directa si los dispositivos móviles de los empleados se infectan y se utilizan para acceder a recursos corporativos, pudiendo eludir los controles de seguridad de red basados en la confianza de la IP. Para los individuos, representa una violación de la privacidad y un robo de recursos.

Las recomendaciones incluyen:

  1. Vigilancia con los anuncios: Tratar con extremo escepticismo los anuncios de software "crackeado", ofertas demasiado buenas para ser verdad o versiones no oficiales de aplicaciones, independientemente de la plataforma en la que aparezcan.
  2. Limitarse a tiendas oficiales: Instalar aplicaciones solo desde Google Play Store, e incluso entonces, escrutinar los perfiles de desarrollador, las reseñas y los permisos solicitados.
  3. Monitorizar el comportamiento del dispositivo: El uso de datos inexplicable, el drenaje de batería o el sobrecalentamiento del dispositivo pueden ser indicadores de actividad maliciosa en segundo plano.
  4. Mantener el software actualizado: Asegurarse de que el sistema operativo Android y todas las aplicaciones estén actualizados para parchear vulnerabilidades conocidas que el malware podría explotar.
  5. Usar software de seguridad reputado: Una buena solución de seguridad móvil puede ayudar a detectar y bloquear RATs y otras cargas maliciosas.
  6. Concienciación sobre el NFC: Ser cauteloso con las solicitudes no solicitadas de acercar el teléfono a otro dispositivo. Desactivar el NFC cuando no se use, especialmente en entornos concurridos o de alto riesgo.

Conclusión

La convergencia del botnet de proxies Mirax y los esquemas de fraude por NFC dibuja un panorama claro del moderno entorno de amenazas móviles. Los atacantes operan con una eficiencia similar a la de una empresa, especializándose en la construcción de infraestructura a largo plazo o en operaciones de golpe financiero rápido. Utilizan las plataformas más confiables (anuncios en redes sociales) y las funciones más convenientes (pagos contactless) como armas. Para la comunidad de ciberseguridad, esto subraya la necesidad de una defensa en profundidad que vaya más allá de la seguridad perimetral tradicional, haciendo hincapié en la educación del usuario, la monitorización del comportamiento y un enfoque de confianza cero para el acceso a la red, incluso desde direcciones IP aparentemente legítimas. El dispositivo en tu bolsillo ya no es solo una herramienta de comunicación; en las manos equivocadas, puede convertirse en un arma o un recurso contra el ecosistema digital en su conjunto.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

Mirax Android RAT Turns Devices into SOCKS5 Proxies, Reaching 220,000 via Meta Ads

The Hacker News
Ver fuente

Мошенники стали массово красть деньги у россиян через NFC

Московский Комсомолец
Ver fuente

Мошенники обманом заставляют россиян вносить наличные на их карты

Известия
Ver fuente

iCloud backups targeted in spying operation using fake Apple pages

9to5Mac
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Malware
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.