Новый Android-троянец Mirax превращает смартфоны в прокси для атак

Новая вредоносная программа для Android Mirax быстро набирает обороты и уже успела появиться в реальных кибератаках. По данным Cleafy, кампания продвигается посредством рекламы в экосистеме Meta (признана экстремистской и запрещена в России) и может охватить более 220 тысяч аккаунтов в Facebook, Instagram, Messenger и Threads (все принадлежат экстремистской и запрещенной Meta).

Исследователи утверждают, что это не очередной банковский троян, а нечто более неприятное: Mirax сочетает в себе функции удаленного доступа к смартфону с возможностью превратить зараженное устройство в резидентный прокси-узел.

Это означает, что злоумышленники могут не только следить за действиями жертвы и похищать ее данные, но и маршрутизировать собственный трафик через реальный IP-адрес владельца зараженного телефона.

Это особенно удобно для злоумышленников: позволяет легче обходить географические ограничения, маскировать мошеннические действия под «обычную» деятельность, а также осуществлять захват аккаунтов или финансовые операции с меньшим риском мгновенного срабатывания антифрод-систем.

Согласно описанию Клифи, Mirax может перехватывать нажатия клавиш, красть фотографии, собирать данные блокировки экрана, выполнять команды, отслеживать активность пользователей и загружать поддельные HTML-оверлеи поверх реальных приложений для кражи логинов и паролей. От типичных Android-троянов его отличает функция прокси: зараженный смартфон может использоваться не только как цель атаки, но и как инфраструктура для других преступных операций.

Mirax распространяется посредством рекламы в Мете. Пользователям показывали рекламу, обещающую бесплатный доступ к трансляциям спортивных трансляций и фильмов, а затем направляли на страницы с дроппером. По оценкам Cleafy, одно объявление, запущенное 6 апреля 2026 года, охватило 190 987 аккаунтов.

Ссылки на дропперы проверяют, что страница была открыта с мобильного устройства, и пытаются скрыть вредоносный контент от автоматического анализа. Сами APK-файлы размещались на GitHub. Обнаруженные названия приложений включают StreamTV для дроппера и Reproductor de video для конечной полезной нагрузки. После установки пользователя уговаривают разрешить установку из неизвестных источников, после чего разворачивается основной модуль Mirax.

После заражения вредоносная программа маскируется под видеоплеер, просит включить специальные возможности Android и получает практически полный контроль над устройством. Для связи с управляющей инфраструктурой используется сразу несколько каналов WebSocket: один для удаленных команд, другой для потоковой передачи и вывода данных и третий для поднятия SOCKS5-прокси.

Клифи считает, что это хороший пример того, как рынок вредоносного ПО для Android движется в сторону более «многофункциональных» инструментов, где одно заражение дает злоумышленникам несколько способов монетизации.