En las últimas semanas ha emergido un actor malicioso para Android que reúne capacidades clásicas de troyano de acceso remoto (RAT) con un giro inquietante: además de tomar el control del teléfono, convierte el dispositivo infectado en un punto de salida para el tráfico de los atacantes. El nombre que aparece en los reportes técnicos es Mirax, y su actividad ha sido detectada especialmente en campañas dirigidas a países hispanohablantes, donde los anuncios en plataformas de Meta han conseguido llegar a cientos de miles de cuentas.
Mirax no solo espía: también alquila la conexión del dispositivo a los atacantes. Los operadores pueden interactuar con el móvil en tiempo real —leer mensajes, activar la cámara o el micrófono, capturar pulsaciones y robar credenciales mediante superposiciones HTML— y, al mismo tiempo, encaminar tráfico malicioso a través de un proxy SOCKS5 montado sobre la máquina comprometida. Ese doble uso convierte cada smartphone en una pieza de infraestructura: sirve tanto para fraudes dirigidos a cuentas bancarias como para ocultar operaciones criminales aprovechando la dirección IP legítima del usuario.
La información disponible sugiere que Mirax se comercializa con un modelo tipo MaaS (malware-as-a-service). Investigadores que han seguido la pista del proyecto indican que existe un panel de gestión y un ecosistema de afiliados, y que el producto aparece en foros clandestinos bajo condiciones de acceso restringido. Este planteamiento —controlar cuidadosamente quién puede utilizar el malware— encaja con la intención de limitar la visibilidad y preservar la “calidad” de las campañas.
El vector de entrada más repetido en los casos detectados ha sido la publicidad pagada. Los atacantes crean anuncios atractivos que prometen servicios de streaming gratuitos y redirigen a páginas pensadas para que el usuario descargue un instalador (un “dropper”) en formato APK. Es llamativo que algunos de estos instaladores estén alojados en repositorios públicos como GitHub, lo que ayuda a que las URL parezcan legítimas y a dificultar la detección automática. Una vez descargado, el instalador insta al usuario a permitir instalaciones desde fuentes desconocidas y a activar permisos de accesibilidad, que luego se usan para mantener el control y colocar pantallas superpuestas que ocultan acciones maliciosas.
El diseño del proceso de infección es deliberadamente complejo. Los análisis técnicos describen un flujo en varias etapas pensado para saltarse herramientas automáticas de análisis y sandboxes: el dropper descomprime cargas útiles, ejecuta comprobaciones para confirmar que el fichero se ha abierto desde un dispositivo móvil real y extrae el ejecutable final que actúa como RAT y como proxy. Además, el malware mantiene múltiples canales bidireccionales con su servidor de control, usando WebSocket en distintos puertos para separar tareas —comandos remotos, exfiltración de datos y la instauración del servicio SOCKS— lo que permite una gestión modular y resiliente de la operación.
Un apartado menos conocido, pero especialmente peligroso, es la inclusión de soporte para multiplexado (por ejemplo, Yamux) junto al protocolo SOCKS5. Esto permite que los atacantes abran múltiples conexiones simultáneas a través del mismo dispositivo víctima sin levantar sospechas en patrones sencillos de tráfico. La consecuencia práctica es que un solo teléfono puede servir a varias operaciones ilegítimas a la vez: desde realizar accesos a cuentas con una IP “residencial” hasta enmascarar campañas de fraude a gran escala.
Los métodos de distribución y las funcionalidades técnicas colocan a Mirax en una confluencia entre el malware bancario tradicional y el abuso de redes de salida residenciales, una tendencia que preocupa porque multiplica el valor económico de cada dispositivo comprometido. Además, la limitada distribución del servicio —según los informes, priorizando actores con currículum en comunidades rusohablantes— subraya una estrategia de control y profesionalización que dificulta la intervención y la atribución.
En paralelo, la escena de malware móvil muestra otros desarrollos similares: grupos que venden paneles multiusuario, RATs que se presentan como utilidades legítimas y campañas localizadas por idioma y temática. Un ejemplo reciente documentado por firmas de inteligencia incluye una RAT distribuida con señuelos relacionados con servicios gubernamentales, lo que evidencia el uso de estas herramientas tanto para crimen económico como para vigilancia dirigida.
¿Qué pueden hacer los usuarios y las plataformas? Para las personas, la regla más importante sigue siendo la prudencia: no instalar aplicaciones fuera de tiendas oficiales, desconfiar de anuncios que prometen contenido de pago gratis y revisar con atención los permisos que se conceden, sobre todo los de accesibilidad. En el caso de empresas y proveedores de servicios online, la detección de patrones de uso de IP residencial y la correlación de comportamientos inusuales deben reforzarse, así como la identificación de anuncios maliciosos en ecosistemas publicitarios. Las plataformas que alojan publicidad también tienen responsabilidad: mejorar los procesos de verificación de anunciantes y monitorizar destinos finales de clics puede reducir la eficacia de este tipo de fraudes.
Si buscas profundizar en los hallazgos técnicos y los avisos publicados por los equipos que han analizado estas campañas, conviene consultar las labores de respuesta y análisis de los propios fabricantes y de grupos especializados. Entre las fuentes de referencia pueden consultarse las páginas de empresas que investigan fraude y amenazas online como Cleafy (cleafy.com), informes y blogs de firmas de seguridad como Outpost24 KrakenLabs (outpost24.com) y organizaciones que publican inteligencia sobre amenazas emergentes, por ejemplo Breakglass Intelligence (breakglassintel.com). Para entender las recomendaciones de seguridad a nivel de plataforma, la documentación de Google sobre Google Play Protect y riesgos en Android es un recurso útil (support.google.com), y las políticas de publicidad de Meta ofrecen contexto sobre cómo deberían gestionarse los anuncios (facebook.com/policies/ads).
Al final, Mirax es un recordatorio de que las amenazas móviles no se limitan ya a robar credenciales o interceptar mensajes: los atacantes están convirtiendo dispositivos personales en infraestructuras reutilizables para operaciones criminales más amplias. La combinación de ingeniería social a través de publicidad dirigida, hospedaje en servicios públicos para camuflar URLs y un desarrollo técnico que prioriza evasión y persistencia exige una respuesta coordinada entre usuarios, plataformas y especialistas en seguridad.
La buena noticia es que las defensas básicas siguen siendo altamente efectivas: evitar instalaciones de orígenes no verificados, limitar los permisos de accesibilidad, mantener el sistema actualizado y utilizar soluciones de seguridad móvil reconocidas reducen significativamente el riesgo de convertirse en parte de una botnet de proxies o una red de fraude. La mala noticia es que, mientras esas prácticas no sean universales, proyectos como Mirax seguirán encontrando víctimas y clientes para su “servicio”.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...