Volver al Hub

Cavalo de Troia Mirax para Android usa anúncios do Meta para criar rede global de proxies

Imagen generada por IA para: El troyano Mirax para Android usa anuncios de Meta para crear una red de proxies global

A Ameaça Mirax: Como um Novo RAT para Android Usa Anúncios do Meta para Criar um Exército Global de Proxies

Pesquisadores de segurança soam o alarme sobre uma campanha de Cavalo de Troia de Acesso Remoto (RAT) para Android que se espalha rapidamente e utiliza um canal de distribuição perturbadoramente eficaz: a publicidade legítima nas plataformas da Meta. Batizado de "Mirax", esse malware já infectou aproximadamente 220.000 dispositivos em todo o mundo, não para roubar credenciais bancárias diretamente, mas para recrutá-los em uma extensa rede global de proxies SOCKS5 — uma infraestrutura de botnet de aluguel com sérias implicações para o cenário de cibersegurança.

Vetor de infecção: Malvertising em grande escala

A infecção inicial começa com uma tática clássica de engenharia social, potencializada pela sofisticada capacidade de segmentação de anúncios da Meta. Os usuários são apresentados a anúncios atraentes no Facebook ou Instagram, promovendo versões crackeadas de software pago popular, truques falsos para jogos ou aplicativos de utilidade aparentemente legítimos. Esses anúncios redirecionam para sites de terceiros que hospedam o arquivo APK malicioso, muitas vezes disfarçado com avaliações de usuários falsas convincentes e capturas de tela com aparência profissional. O uso de uma plataforma de anúncios confiável dá um ar de legitimidade que aumenta drasticamente a taxa de cliques e instalações em comparação com phishing tradicional ou sites de download duvidosos.

Capacidades técnicas: Escravização silenciosa

Uma vez instalado, o Mirax solicita permissões extensas e, frequentemente, oculta seu ícone para evitar detecção. Sua funcionalidade principal é estabelecer uma conexão persistente com um servidor de Comando e Controle (C2). Após o registro, o dispositivo infectado é configurado como um nó de proxy SOCKS5. SOCKS5 é um protocolo de internet padrão que roteia pacotes de rede entre um cliente e um servidor por meio de um servidor proxy, mascarando efetivamente a origem real do tráfego.

Da perspectiva do usuário, o dispositivo pode mostrar uma vida útil da bateria ligeiramente reduzida ou um aumento no uso de dados, mas, caso contrário, funciona normalmente. Nos bastidores, no entanto, ele se tornou uma engrenagem em uma máquina massiva de anonimização. Os operadores da botnet podem então vender o acesso a essa rede de proxy em fóruns clandestinos para outros cibercriminosos, que a usam para uma variedade de atividades ilícitas:

  • Preenchimento de credenciais e tomada de contas: Lançar ataques de milhares de endereços IP residenciais legítimos e diferentes torna o bloqueio baseado em reputação geográfica ou de IP quase impossível.
  • Fraude em anúncios: Gerar cliques e impressões falsos em publicidade de pagamento por clique a partir de dispositivos reais para desviar orçamentos de marketing.
  • Ataques anonimizados: Ocultar a origem de ataques contra sites, APIs ou empresas criminosas rivais.
  • Raspagem de dados: Burlar limites de taxa e bloqueios baseados em IP para coletar dados de sites de comércio eletrônico e redes sociais.

O panorama geral: Evolução das ameaças móveis

A campanha Mirax marca uma mudança estratégica na economia do malware móvel. Em vez do modelo de alto risco e alta recompensa da fraude bancária direta — que desencadeia resposta rápida de instituições financeiras e aplicação da lei — este modelo cria um fluxo de receita recorrente e constante através da construção de infraestrutura. Os dispositivos infectados se tornam uma commodity. Este modelo de "proxy como serviço" é mais discreto e sustentável para os agentes de ameaça.

Ameaça paralela: A ascensão da fraude baseada em NFC

Enquanto o Mirax constrói infraestrutura, outros agentes de ameaça estão refinando técnicas para roubo financeiro direto. Notavelmente, na Rússia, agências de segurança e veículos de comunicação como MK.ru e Iz.ru relatam um aumento acentuado de fraudes com pagamentos por NFC. Nesse esquema, os atacantes usam engenharia social — muitas vezes se passando por oficiais de segurança bancária, pesquisadores ou trabalhadores de caridade — para enganar as vítimas e fazê-las desbloquear seu smartphone e aproximá-lo de uma maquininha de cartão portátil oculta com capacidades NFC.

Uma vez a curta distância (alguns centímetros), o atacante pode iniciar uma transação por aproximação do telefone da vítima para sua própria conta. O golpe explora a conveniência dos sistemas de pagamento por aproximação, transformando um momento de proximidade em uma perda financeira significativa. Essa ameaça, embora atualmente concentrada em uma região específica, demonstra as maneiras criativas como os atacantes exploram os recursos padrão do hardware móvel.

Estratégias de mitigação e defesa

Para empresas, a botnet Mirax representa uma ameaça direta se os dispositivos móveis dos funcionários forem infectados e usados para acessar recursos corporativos, potencialmente contornando controles de segurança de rede baseados em confiança de IP. Para indivíduos, representa uma violação de privacidade e roubo de recursos.

Recomendações incluem:

  1. Vigilância com anúncios: Trate anúncios de software "crackeado", ofertas boas demais para ser verdade ou versões não oficiais de aplicativos com extremo ceticismo, independentemente da plataforma em que apareçam.
  2. Fique nas lojas oficiais: Instale aplicativos apenas da Google Play Store e, mesmo assim, examine perfis de desenvolvedor, avaliações e permissões solicitadas.
  3. Monitore o comportamento do dispositivo: Uso de dados inexplicável, drenagem de bateria ou superaquecimento do dispositivo podem ser indicadores de atividade maliciosa em segundo plano.
  4. Mantenha o software atualizado: Certifique-se de que seu sistema operacional Android e todos os aplicativos estejam atualizados para corrigir vulnerabilidades conhecidas que o malware pode explorar.
  5. Use software de segurança reputado: Uma boa solução de segurança móvel pode ajudar a detectar e bloquear RATs e outras cargas maliciosas.
  6. Conscientização sobre NFC: Tenha cautela com solicitações não solicitadas para aproximar seu telefone de outro dispositivo. Desative o NFC quando não estiver em uso, especialmente em ambientes lotados ou de alto risco.

Conclusão

A convergência da botnet de proxies Mirax e dos esquemas de fraude por NFC traça um quadro claro do cenário moderno de ameaças móveis. Os atacantes operam com eficiência empresarial, especializando-se na construção de infraestrutura de longo prazo ou em operações de golpe financeiro rápido. Eles aproveitam as plataformas mais confiáveis (anúncios em redes sociais) e os recursos mais convenientes (pagamentos por aproximação) como armas. Para a comunidade de cibersegurança, isso ressalta a necessidade de uma defesa em profundidade que vá além da segurança perimetral tradicional, enfatizando a educação do usuário, o monitoramento comportamental e uma abordagem de confiança zero para o acesso à rede — mesmo de endereços IP aparentemente legítimos. O dispositivo no seu bolso não é mais apenas uma ferramenta de comunicação; nas mãos erradas, pode se tornar uma arma ou um recurso contra o ecossistema digital mais amplo.

Fontes originais

NewsSearcher

Este artigo foi gerado pelo nosso sistema NewsSearcher de IA, analisando informações de múltiplas fontes confiáveis.

Tomato Prices Soar To PKR 600 Per Kg In Pakistan, Supply Hit By Border Tensions & Floods

Free Press Journal
Ver fonte

Tomato Prices Soar 400% in Pakistan to Rs 600 per kg, Capsicum Hits Rs 300 After Afghanistan Border Closure

NewsX
Ver fonte

Tomato prices soar 400%: How shutting down of Afghanistan border is hurting Pakistan

Firstpost
Ver fonte

Pakistans industrial base on brink as policies falter and energy costs soar

News18
Ver fonte

Tomato Prices Soar 400% In Pakistan As Afghanistan Border Shutdown Bites

NDTV.com
Ver fonte

⚠️ Fontes utilizadas como referência. CSRaid não se responsabiliza pelo conteúdo de sites externos.

Por Alvaro Salinas Cybersecurity Engineer
Malware
Este artigo foi escrito com assistência de IA e revisado por nossa equipe editorial.

Comentarios 0

¡Únete a la conversación!

Los comentarios estarán disponibles próximamente.