Un incipiente troyano de acceso remoto para Android llamado mirax Se ha observado que se dirige activamente a países de habla hispana, con campañas que llegan a más de 220.000 cuentas en Facebook, Instagram, Messenger y Threads a través de anuncios en Meta.
“Mirax integra capacidades avanzadas de troyano de acceso remoto (RAT), lo que permite a los actores de amenazas interactuar completamente con los dispositivos comprometidos en tiempo real”, dijo la firma italiana de prevención de fraude en línea Cleafy.
“Más allá del comportamiento tradicional de RAT, Mirax mejora su valor operativo al convertir los dispositivos infectados en nodos proxy residenciales. Aprovechando el soporte del protocolo SOCKS5 y la multiplexación Yamux, establece canales proxy persistentes que permiten a los atacantes enrutar su tráfico a través de la dirección IP real de la víctima”.
Los detalles de Mirax surgieron por primera vez el mes pasado cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado “Mirax Bot” había estado anunciando una oferta privada de malware como servicio (MaaS) en foros clandestinos por 2.500 dólares por una suscripción de tres meses. También está disponible por $ 1,750 por mes una variante liviana que elimina ciertas funciones como el proxy y la capacidad de omitir Google Play Protect usando un cifrado.
Al igual que otros programas maliciosos de Android, Mirax admite la capacidad de capturar pulsaciones de teclas, robar fotos, recopilar detalles de la pantalla de bloqueo, ejecutar comandos, navegar por la interfaz de usuario y monitorear la actividad del usuario en el dispositivo comprometido. También puede recuperar dinámicamente páginas HTML superpuestas desde un servidor de comando y control (C2) para representarlas en aplicaciones legítimas para el robo de credenciales.
La incorporación de un proxy SOCKS, por otro lado, es una característica relativamente menos conocida que lo distingue del comportamiento RAT convencional. La botnet proxy ofrece varias ventajas porque permite a los actores de amenazas eludir las restricciones basadas en la geolocalización, evadir los sistemas de detección de fraude y realizar apropiaciones de cuentas o fraudes en transacciones bajo la apariencia de un mayor anonimato y legitimidad.
“A diferencia de las ofertas típicas de MaaS, Mirax se distribuye a través de un modelo exclusivo y altamente controlado, limitado a un pequeño número de afiliados”, dijeron los investigadores Alberto Giust, Alessandro Strino y Federico Valentini. “El acceso parece tener prioridad para los actores de habla rusa con reputación establecida en las comunidades clandestinas, lo que indica un esfuerzo deliberado para mantener la seguridad operativa y la eficacia de la campaña”.
Las cadenas de ataque que distribuyen el malware utilizan metaanuncios para promocionar páginas web de aplicaciones de cuentagotas, engañando a los usuarios desprevenidos para que las descarguen. Se han observado hasta seis anuncios que anuncian activamente un servicio de transmisión por secuencias con acceso gratuito a deportes y películas en vivo. De ellos, cinco anuncios están dirigidos a usuarios de España. Uno de los anuncios, que comenzó a publicarse el 6 de abril de 2026, tiene un alcance de 190.987 cuentas.
Las URL de la aplicación cuentagotas implementan una serie de comprobaciones para garantizar que se acceda a ellas desde dispositivos móviles y para evitar que los escaneos automáticos revelen su verdadero color. Los nombres de las aplicaciones maliciosas se enumeran a continuación:
- StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – Aplicación cuentagotas
- Reproductor de vídeo (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) – Mirax
Un aspecto notable de la campaña es el uso de GitHub para alojar los archivos APK del dropper malicioso. Además, el panel de creación ofrece la posibilidad de elegir entre dos criptográficos, Virbox y Golden Crypt (también conocido como Golden Encryption), para una protección APK mejorada.
Una vez instalado, el dropper indica a los usuarios que permitan la instalación desde fuentes desconocidas para implementar el malware. El proceso de extracción de la carga útil final es una “operación sofisticada de varias etapas” que está diseñada para eludir el análisis de seguridad y las herramientas automatizadas de sandboxing.
El malware, después de instalarse en el dispositivo, se hace pasar por una utilidad de reproducción de vídeo y solicita a la víctima que habilite los servicios de accesibilidad, lo que le permite ejecutarse en segundo plano, mostrar un mensaje de error falso que indica que la instalación no tuvo éxito y mostrar superposiciones falsas para ocultar actividades maliciosas.
También establece múltiples canales C2 bidireccionales para tareas y exfiltración de datos.
- WebSocket en el puerto 8443, para gestionar el acceso remoto y ejecutar comandos remotos.
- WebSocket en el puerto 8444, para gestionar la transmisión remota y la exfiltración de datos.
- WebSocket en el puerto 8445 (o un puerto personalizado), para configurar el proxy residencial usando SOCKS5.
“Esta convergencia de capacidades RAT y proxy refleja un cambio más amplio en el panorama de amenazas”, dijo Cleafy. “Si bien el abuso de proxy residencial se ha asociado históricamente con dispositivos IoT comprometidos y hardware Android de bajo costo, como televisores inteligentes, Mirax marca una nueva fase al incorporar esta funcionalidad dentro de un troyano bancario con todas las funciones”.
“Este enfoque no sólo aumenta el potencial de monetización de cada infección, sino que también amplía el alcance operativo de los atacantes, que ahora pueden aprovechar los dispositivos comprometidos tanto para fraude financiero directo como como infraestructura para actividades cibercriminales más amplias”.
La revelación se produce cuando Breakglass Intelligence detalló un RAT Android en idioma árabe llamado ASO RAT que se distribuye a través de aplicaciones disfrazadas de lectores de PDF y aplicaciones del gobierno sirio.
“La plataforma proporciona capacidades completas de compromiso de dispositivos: interceptación de SMS, acceso a cámaras, rastreo por GPS, registro de llamadas, exfiltración de archivos y lanzamiento de DDoS desde los dispositivos de las víctimas”, dijo la compañía. “Un panel multiusuario con control de acceso basado en roles sugiere que esto funciona como un RAT como servicio o apoya a un equipo de múltiples operadores”.
Actualmente no se sabe cuáles son los objetivos finales exactos de la campaña, pero los señuelos con temas sirios para las aplicaciones (por ejemplo, SyriaDefenseMap y GovLens) sugieren que puede estar apuntando a individuos con interés en asuntos militares o de gobernanza sirios como parte de lo que se sospecha que es una operación de vigilancia.
