Volver al Hub

El troyano Mirax para Android secuestra 200.000 dispositivos usando anuncios de Meta

Imagen generada por IA para: El troyano Mirax para Android secuestra 200.000 dispositivos usando anuncios de Meta

La amenaza Mirax: Un nuevo RAT para Android desdibuja la línea entre troyano bancario y secuestro total del dispositivo

Investigadores de ciberseguridad han descubierto una campaña activa a gran escala que distribuye un sofisticado troyano de acceso remoto (RAT) para Android llamado Mirax. Este malware ya ha comprometido aproximadamente 200.000 dispositivos, marcando una evolución significativa en las amenazas móviles al combinar los motivos financieros de los troyanos bancarios con las capacidades de control integral de un RAT completo.

Distribución mediante canales legítimos: El vector de los anuncios de Meta

El aspecto más alarmante de la campaña Mirax es su método de distribución. Los atacantes están utilizando como arma las plataformas publicitarias de Meta—incluyendo Facebook e Instagram—para entregar el malware a una audiencia masiva. Anuncios engañosos, que a menudo imitan avisos legítimos de actualización del sistema o promocionan aplicaciones populares pero falsas, atraen a los usuarios para que hagan clic. Estos anuncios están geodirigidos, con un fuerte enfoque en usuarios de India y países de habla alemana, lo que sugiere un enfoque de ingeniería social personalizado.

Una vez que un usuario hace clic en el anuncio, es redirigido a un sitio web malicioso que aloja el archivo APK (Android Package Kit). El sitio emplea un lenguaje persuasivo, instando al usuario a instalar una "actualización de seguridad crítica" o una aplicación imprescindible, sorteando las advertencias de seguridad que Android muestra al instalar desde fuentes desconocidas. Este método de usar publicidad pagada en plataformas legítimas proporciona a los atacantes un motor de distribución potente y escalable, haciendo que las listas negras tradicionales sean menos efectivas.

Capacidades más allá del simple robo: Control total del dispositivo

Mirax se distingue de los troyanos bancarios comunes para Android por su amplio conjunto de funciones, que otorga a los atacantes un control casi total sobre el dispositivo infectado:

  • Visualización y control de pantalla en tiempo real: Los atacantes pueden transmitir la pantalla de la víctima en tiempo real, observando cada acción. Esto les permite ver no solo los inicios de sesión en aplicaciones bancarias, sino también cualquier otra actividad sensible, incluido el acceso al correo corporativo o la mensajería personal.
  • Registro de pulsaciones (Keylogging): El malware registra cada pulsación de tecla, capturando nombres de usuario, contraseñas, PINs y mensajes introducidos por el usuario.
  • Ejecución remota de transacciones: Mirax puede simular la interacción del usuario (gestos de toque y deslizamiento) para iniciar y confirmar de forma autónoma transacciones financieras dentro de las aplicaciones bancarias, vaciando efectivamente las cuentas sin el conocimiento inmediato de la víctima.
  • Exfiltración de datos: Recopila listas de contactos, mensajes SMS (incluidos contraseñas de un solo uso), registros de llamadas y datos de aplicaciones instaladas.
  • Persistencia y sigilo: El malware emplea técnicas para ocultar su icono del cajón de aplicaciones después de la instalación, dificultando que el usuario promedio lo detecte. También solicita los permisos necesarios bajo la apariencia de ser un servicio del sistema legítimo.

Este cambio, desde el robo de credenciales hasta el secuestro activo y remoto de sesiones, representa un salto cualitativo en la sofisticación de la amenaza. Un atacante ya no solo roba datos estáticos; se está apoderando del dispositivo mismo para realizar acciones en tiempo real, eludiendo muchos métodos de autenticación multifactor (MFA) que dependen de aprobaciones en el dispositivo.

El señuelo de ingeniería social: Actualizaciones y aplicaciones falsas

El análisis de los señuelos utilizados en los anuncios de Meta revela un enfoque en la urgencia y la legitimidad. Un tema prevalente es una falsa "Actualización del SO Android" o "Parche de seguridad" que afirma corregir vulnerabilidades críticas. Otra táctica implica anuncios de versiones crackeadas o premium de juegos populares, aplicaciones de utilidad o servicios de streaming. Para usuarios no técnicos, la línea entre un anuncio legítimo y uno malicioso es peligrosamente delgada, especialmente cuando aparece en una plataforma de confianza como Facebook.

Impacto e implicaciones para la comunidad de ciberseguridad

La campaña Mirax tiene varias implicaciones críticas:

  1. Erosión de la confianza en las redes publicitarias: El abuso de las principales plataformas publicitarias para la distribución de malware desafía el modelo de seguridad de la publicidad digital. Obliga a reevaluar los procesos de verificación de anuncios y coloca una nueva carga sobre las plataformas para detectar proactivamente campañas maliciosas.
  2. El endpoint es el campo de batalla: El ataque demuestra que el smartphone se ha convertido en el objetivo principal de los cibercriminales con motivación financiera. Las defensas deben ir más allá del escaneo basado en aplicaciones para incluir análisis de comportamiento que pueda detectar actividad anómala de control remoto.
  3. Un modelo para futuros ataques: El éxito de Mirax sin duda inspirará a otros actores de amenazas. La combinación de capacidades de RAT con una distribución a gran escala impulsada por anuncios es una fórmula potente que probablemente será replicada.
  4. Desafíos para las instituciones financieras: Los bancos y las aplicaciones fintech ya no pueden confiar únicamente en la identificación del dispositivo o las comprobaciones de integridad de la aplicación. Deben implementar biométrica conductual avanzada en sesión para detectar cuándo una transacción la está realizando un script automatizado o un actor remoto, en lugar del usuario legítimo.

Mitigación y recomendaciones

Para profesionales de seguridad y organizaciones:

  • La educación del usuario es primordial: Realice campañas de concienciación advirtiendo a los usuarios sobre los riesgos de instalar aplicaciones desde fuera de las tiendas oficiales, incluso si se promocionan a través de anuncios en redes sociales. Enfatice que las actualizaciones legítimas del sistema operativo solo llegan a través del menú Ajustes del dispositivo.
  • Implemente soluciones de defensa contra amenazas móviles (MTD): Despliegue soluciones MTD de nivel empresarial que puedan detectar las firmas de comportamiento de un RAT, como conexiones de acceso remoto no autorizadas y ataques de superposición (overlay).
  • Abogue por configuraciones predeterminadas más estrictas: Fomente la adopción del permiso de Android "Instalar aplicaciones desconocidas" como una concesión más restrictiva y puntual, en lugar de una autorización persistente para un navegador o un gestor de archivos.

Para usuarios individuales:

  • Utilice solo tiendas oficiales: Instale aplicaciones solo desde Google Play Store, e incluso así, examine la información del desarrollador y las reseñas.
  • Ignore los avisos de actualización en anuncios: Nunca actualice su sistema operativo Android o sus parches de seguridad haciendo clic en un enlace de un anuncio. Vaya a Ajustes > Sistema > Actualización del sistema para comprobarlo manualmente.
  • Revise los permisos de las aplicaciones críticamente: Desconfíe de cualquier aplicación, especialmente una que se haga pasar por una herramienta del sistema, que solicite permisos de Servicios de Accesibilidad o la capacidad de "dibujar sobre otras aplicaciones", ya que estos son comúnmente abusados por el malware.
  • Utilice una aplicación de seguridad reputada: Una buena aplicación de seguridad para móviles puede proporcionar una capa adicional de escaneo y protección.

El descubrimiento de Mirax es un recordatorio contundente de que el panorama de amenazas móviles está evolucionando a un ritmo rápido. Los cibercriminales están invirtiendo en herramientas sofisticadas y aprovechando la propia infraestructura de la economía digital—la publicidad online—para lanzar ataques devastadores. La vigilancia, la educación y los controles técnicos avanzados son ahora elementos no negociables de la higiene de ciberseguridad personal y organizativa.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

Neuer Banking-Trojaner verschafft Angreifern Kontrolle über Android-Smartphones

CHIP Online Deutschland
Ver fuente

Neuer Banking-Trojaner verschafft Angreifern Kontrolle über Android-Smartphones

CHIP Online Deutschland
Ver fuente

Urgent Alert: Protect Your Smartphone from New Cyber Fraud

Devdiscourse
Ver fuente

‘ഒറിജിൻ ഒഎസ് അപ്ഡേറ്റ്’ സന്ദേശം വ്യാജം; സൈബർ തട്ടിപ്പിന് സാധ്യത: ബാങ്കിങ് വിവരങ്ങൾ ചോർത്തും, വേണം ജാഗ്രത

Malayala Manorama
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Malware
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.