Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Mirax Android RAT: trasforma il tuo smartphone in proxy SOCKS5 e spia tutto tramite annunci Meta
Il trojan Mirax per Android si sta facendo notare nel panorama della sicurezza mobile per una caratteristica che va oltre il classico controllo remoto del dispositivo. Si tratta di un Android RAT in grado non solo di spiare e comandare lo smartphone infetto, ma anche di trasformarlo in un proxy residenziale basato su protocollo SOCKS5.
In pratica il traffico degli attaccanti può essere instradato attraverso l’indirizzo IP reale della vittima, aumentando anonimato operativo e credibilità delle azioni fraudolente.
Le campagne osservate hanno preso di mira soprattutto paesi di lingua spagnola e hanno sfruttato inserzioni pubblicitarie su piattaforme Meta per raggiungere un pubblico molto ampio, con una copertura che ha superato 220000 account tra Facebook, Instagram, Messenger e Threads. Il meccanismo è tipico della social engineering: annunci che promuovono servizi apparentemente legittimi come streaming gratuito di sport in diretta e film, che portano a pagine web progettate per far scaricare un’app dropper.
Per evitare controlli automatici e analisi, gli URL dei dropper implementano verifiche mirate, ad esempio per consentire l’accesso solo da dispositivi mobili e ridurre la visibilità ai sistemi di scansione. Un elemento rilevante è l’uso di GitHub come hosting dei file APK malevoli, una scelta che può aumentare la fiducia percepita e complicare alcune attività di blocco.
Una volta installato, il dropper richiede di abilitare l’installazione da origini sconosciute e avvia una catena multi fase per estrarre e distribuire il payload finale. Il malware poi si presenta come un riproduttore video e spinge la vittima ad attivare i servizi di accessibilità, ottenendo permessi potenti per operare in background, simulare errori di installazione e mascherare le proprie attività.
Sul piano delle funzionalità, Mirax include raccolta di battiture, furto di foto, acquisizione di dettagli della schermata di blocco, esecuzione di comandi e monitoraggio dell’attività utente. Inoltre può scaricare overlay HTML da un server C2 e sovrapporli ad app reali per rubare credenziali. La parte proxy è gestita tramite canali WebSocket dedicati su porte specifiche, separando controllo remoto, streaming ed esfiltrazione dati e configurazione del proxy SOCKS5. Questa combinazione apre la strada ad account takeover, frodi transazionali e aggiramento di restrizioni geografiche, sfruttando la rete della vittima come infrastruttura.