Sehen Sie die Android RAT, die Ihr Telefon als Proxy für Groß Betrug mieten

In den letzten Wochen hat sich ein Android-Böstlicher Schauspieler entwickelt, der klassische Remote Access Trojan (RAT) Fähigkeiten mit einer störenden Wendung zusammenbringt: Neben der Kontrolle des Telefons, es verwandelt das infizierte Gerät in einen Ausgangspunkt für den Verkehr der Angreifer. Der Name in den technischen Berichten ist Mirax, und seine Tätigkeit wurde vor allem in Kampagnen, die auf spanischsprachige Länder abzielen, entdeckt, wo die Ankündigungen auf Meta-Plattformen Hunderttausende von Konten erreicht haben.

Mirax nicht nur spy: es vermietet auch die Geräteverbindung zu den Angreifern. Betreiber können mit dem Handy in Echtzeit interagieren - Nachrichten lesen, die Kamera oder Mikrofon aktivieren, Impulse erfassen und Anmeldeinformationen durch HTML-Überlagerungen stehlen - und gleichzeitig direkten schädlichen Verkehr durch einen SOCKS5 Proxy auf der kompromittierten Maschine montiert. Diese doppelte Verwendung verwandelt jedes Smartphone in eine Infrastruktur: es dient sowohl für Bankkontobetrug als auch für die Verhütung krimineller Operationen, indem es die legitime IP-Adresse des Nutzers nutzt.

Die verfügbaren Informationen legen nahe, dass Mirax mit einem MaaS-Modell (Malware-as-a-Service) vermarktet wird. Forscher, die den Projektpfad verfolgt haben, zeigen, dass es ein Management-Panel und ein Ökosystem von verbundenen Unternehmen gibt, und dass das Produkt in geheimen Foren unter Bedingungen des eingeschränkten Zugangs erscheint. Dieser Ansatz - sorgfältig steuern, wer Malware verwenden kann - passt in die Absicht, die Sichtbarkeit zu begrenzen und die "Qualität" der Kampagnen zu bewahren.

Der wiederholte Eingabevektor in den detektierten Fällen wurde Werbung bezahlt. Die Angreifer erstellen attraktive Anzeigen, die kostenlose Streaming-Dienste versprechen und auf Seiten umleiten, die für den Benutzer entworfen wurden, um einen Installer (ein "Dropper") im APK-Format herunterzuladen. Es ist auffällig, dass einige dieser Installateure in öffentlichen Repositories wie GitHub untergebracht sind, was hilft, die URL legitim aussehen zu lassen und es schwierig zu machen, automatisch zu erkennen. Nach dem Herunterladen fordert der Installer den Benutzer auf, Einrichtungen aus unbekannten Quellen zu ermöglichen und die Zugänglichkeitsgenehmigungen zu aktivieren, die dann verwendet werden, um Kontrolle zu halten und überlappende Bildschirme, die bösartige Aktionen verbergen.

Die Gestaltung des Infektionsprozesses ist bewusst komplex. Technische Analysen beschreiben einen mehrstufigen Ablauf, der darauf ausgelegt ist, automatische Analyse-Tools und Sandboxen zu überspringen: Der Dropper dekomprimiert Nutzlasten, führt Kontrollen durch, um zu bestätigen, dass die Datei aus einem realen Mobilgerät geöffnet wurde und extrahiert das endgültige ausführbare als RAT und als Proxy. Darüber hinaus unterhält die Malware mehrere Zwei-Wege-Kanäle mit seinem Steuerserver, mit WebSocket in verschiedenen Ports, um Aufgaben zu trennen - Remote-Befehle, Daten-Exfiltration und die Einrichtung des SOCKS-Service - ermöglicht eine modulare und federnde Verwaltung der Operation.

Ein weniger bekannter, aber besonders gefährlicher Absatz ist die Aufnahme von Unterstützung für das Multiplexen (z.B. Yamux) neben dem SOCKS5 Protokoll. Dies ermöglicht es Angreifern, mehrere gleichzeitige Verbindungen durch das gleiche Opfergerät zu öffnen, ohne den Verdacht in einfachen Verkehrsmustern zu erhöhen. Die praktische Folge ist, dass ein einziges Telefon mehrere illegitime Operationen gleichzeitig bedienen kann: vom Zugang zu Konten mit einer "wohnhaften" IP zur Maskierung groß angelegter Betrugskampagnen.

Verteilungsmethoden und technische Funktionalitäten stellen Mirax in einem Zusammenfluss zwischen traditionellen Bank Malware und dem Missbrauch von Wohn-Output-Netzwerken, ein Trend, der betrifft, weil es den wirtschaftlichen Wert jedes kompromittierten Geräts multipliziert. Darüber hinaus unterstreicht die begrenzte Verteilung des Dienstes - nach Berichten, Priorisierung von Akteuren mit Lehrplan in russischsprachigen Gemeinschaften - eine Strategie der Kontrolle und Professionalisierung, die Intervention und Zuschreibung erschwert.

Parallel zeigt die mobile Malware-Szene andere ähnliche Entwicklungen: Gruppen, die Multiuser-Panels verkaufen, RATs, die als legitime Dienstprogramme und Kampagnen vorgestellt werden, die von Sprache und Thema lokalisiert werden. Ein jüngstes Beispiel, das von den Geheimdiensten dokumentiert wird, umfasst einen mit den öffentlichen Diensten verbundenen RAT, der die Verwendung dieser Instrumente sowohl für die Wirtschaftskriminalität als auch für die gezielte Überwachung demonstriert.

Was können Nutzer und Plattformen tun? Für die Menschen bleibt die wichtigste Regel Vorsicht: nicht die Installation von Anwendungen außerhalb von offiziellen Geschäften, Misstrauen Anzeigen, die kostenlose Zahlungsinhalte versprechen und sorgfältig die erteilten Genehmigungen überprüfen, vor allem diejenigen für die Zugänglichkeit. Für Unternehmen und Online-Dienstleister sollte die Erkennung von IP-Benutzungsmustern und die Korrelation von ungewöhnlichen Verhaltensweisen gestärkt werden, sowie die Identifizierung von schädlichen Anzeigen in Werbeökosystemen. Die Plattformen, die Werbung hosten, haben auch Verantwortung: die Verbesserung der Verifikationsprozesse von Werbetreibenden und die Überwachung der Endabstimmungen von Klicks können die Wirksamkeit dieser Art von Betrug reduzieren.

Wenn Sie auf der Suche nach weiteren technischen Erkenntnissen und Mitteilungen der Teams sind, die diese Kampagnen analysiert haben, sollten Sie die Antwort- und Analysearbeit der Hersteller selbst und der spezialisierten Gruppen konsultieren. Referenzquellen sind die Seiten der Unternehmen, die Betrug und Online-Bedrohungen wie Cleafy untersuchen ( wohnzimmer.de), Berichte und Blogs von Sicherheitsfirmen wie Outpos24 Kraken Labore ( Auslieferungen) und Organisationen, die Intelligenz über neue Bedrohungen veröffentlichen, z.B. Breakglass Intelligence ( wohnzimmer.de) Um Sicherheitsempfehlungen auf Plattformebene zu verstehen, Googles Dokumentation über Google Play Protect und Risiken auf Android ist eine nützliche Ressource ( Unterstützung.google.com), und Metas Werbepolitiken bieten Kontext, wie Werbung verwaltet werden soll ( facebook.com / Richtlinien / Anzeigen)

Am Ende erinnert Mirax daran, dass mobile Bedrohungen nicht mehr darauf beschränkt sind, Anmeldeinformationen zu stehlen oder Nachrichten abzuhalten: Angreifer konvertieren persönliche Geräte in wiederverwendbare Infrastruktur für breitere kriminelle Operationen. Die Kombination von Social Engineering durch gezielte Werbung, Hosting in öffentlichen Dienstleistungen zu Camouflage URLs und technische Entwicklung, die Priorisierung von Evasion und Beharrlichkeit erfordert eine koordinierte Reaktion zwischen Benutzern, Plattformen und Sicherheitsexperten.

Die gute Nachricht ist, dass grundlegende Verteidigungen weiterhin hochwirksam sind: Vermeidung von Anlagen nicht verifizierter Herkunft, Begrenzung der Zugänglichkeitsgenehmigungen, Beibehaltung des Systems auf dem neuesten Stand und Verwendung anerkannter mobiler Sicherheitslösungen reduzieren das Risiko, Teil eines Proxy-Buttons oder eines Betrugsnetzwerks zu werden. Die schlechte Nachricht ist, dass, solange diese Praktiken nicht universell sind, Projekte wie Mirax weiterhin Opfer und Kunden für ihren "Service" finden werden.