Regardez le RAT Android qui loue votre téléphone comme proxy pour la fraude à grande échelle

Au cours des dernières semaines, un acteur malveillant Android a émergé qui réunit les capacités classiques d'accès à distance Trojan (RAT) avec un tour inquiétant: en plus de prendre le contrôle du téléphone, il transforme l'appareil infecté en un point de sortie pour le trafic des attaquants. Le nom dans les rapports techniques est Mirax, et son activité a été détectée en particulier dans les campagnes visant les pays hispanophones, où les annonces sur les plateformes Meta ont atteint des centaines de milliers de comptes.

Mirax non seulement espionne: il loue également la connexion de l'appareil aux attaquants. Les opérateurs peuvent interagir avec le mobile en temps réel - lire des messages, activer la caméra ou le microphone, capturer des impulsions et voler des identifiants via des superpositions HTML - et, en même temps, diriger le trafic malveillant via un proxy SOCKS5 monté sur la machine compromise. Cette double utilisation transforme chaque smartphone en une infrastructure : il sert à la fois pour la fraude de compte bancaire et pour dissimuler les opérations criminelles en profitant de l'adresse IP légitime de l'utilisateur.

Les informations disponibles suggèrent que Mirax est commercialisé avec un modèle MaaS (malware-as-a-service). Les chercheurs qui ont suivi la piste du projet indiquent qu'il y a un comité de gestion et un écosystème de filiales, et que le produit apparaît dans des forums clandestins dans des conditions d'accès restreint. Cette approche - qui contrôle soigneusement qui peut utiliser des logiciels malveillants - s'inscrit dans l'intention de limiter la visibilité et de préserver la « qualité » des campagnes.

Le vecteur d'entrée le plus répété dans les cas détectés a été la publicité payante. Les attaquants créent des annonces attrayantes qui promettent des services de streaming gratuits et rediriger vers des pages conçues pour l'utilisateur pour télécharger un installateur (un "dropper") au format APK. Il est frappant que certains de ces installateurs soient hébergés dans des dépôts publics tels que GitHub, ce qui rend l'URL légitime et rend difficile la détection automatique. Une fois téléchargé, l'installateur exhorte l'utilisateur à autoriser des installations provenant de sources inconnues et à activer des permis d'accessibilité, qui sont ensuite utilisés pour maintenir le contrôle et placer des écrans qui se chevauchent qui masquent les actions malveillantes.

La conception du processus d'infection est délibérément complexe. Les analyses techniques décrivent un flux multi-étapes conçu pour sauter les outils d'analyse automatique et les bacs à sable : la goutteuse décompresse les charges utiles, effectue des vérifications pour confirmer que le fichier a été ouvert à partir d'un véritable appareil mobile et extrait l'exécutable final agissant comme RAT et comme mandataire. En outre, le malware maintient plusieurs canaux bidirectionnels avec son serveur de contrôle, en utilisant WebSocket dans différents ports pour séparer les tâches - commandes à distance, exfiltration de données et l'établissement du service SOCKS - permettant une gestion modulaire et résistante de l'opération.

Un paragraphe moins connu mais particulièrement dangereux est l'inclusion d'un support pour le multiplexage (par exemple Yamux) à côté du protocole SOCKS5. Cela permet aux attaquants d'ouvrir plusieurs connexions simultanées à travers le même appareil victime sans soulever la suspicion dans les modèles de trafic simples. La conséquence pratique est qu'un seul téléphone peut servir plusieurs opérations illégitimes en même temps : de l'accès à des comptes avec une IP « résidentielle » à la dissimulation de campagnes de fraude à grande échelle.

Les méthodes de distribution et les fonctionnalités techniques placent Mirax dans une confluence entre les logiciels malveillants bancaires traditionnels et l'abus des réseaux de sortie résidentielle, une tendance qui craint parce qu'elle multiplie la valeur économique de chaque appareil compromis. En outre, la répartition limitée des services - selon les rapports, en donnant la priorité aux acteurs ayant des programmes d'études dans les communautés russophones - souligne une stratégie de contrôle et de professionnalisation qui rend difficile l'intervention et l'attribution.

En parallèle, la scène des logiciels malveillants mobiles montre d'autres développements similaires: groupes vendant des panneaux multi-utilisateurs, RAT qui sont présentés comme utilitaires légitimes et des campagnes localisées par la langue et le thème. Un exemple récent documenté par des entreprises de renseignement comprend un TAR distribué avec des leurres liés aux services gouvernementaux, ce qui démontre l'utilisation de ces outils pour la criminalité économique et la surveillance ciblée.

Que peuvent faire les utilisateurs et les plateformes? Pour les gens, la règle la plus importante reste la prudence : ne pas installer des applications en dehors des magasins officiels, méfier les annonces qui promettent un contenu de paiement gratuit et examiner soigneusement les permis accordés, en particulier ceux pour l'accessibilité. Pour les entreprises et les fournisseurs de services en ligne, la détection des modes d'utilisation de la propriété intellectuelle résidentielle et la corrélation des comportements inhabituels devraient être renforcées, ainsi que l'identification des publicités malveillantes dans les écosystèmes publicitaires. Les plateformes qui hébergent la publicité ont également la responsabilité: améliorer les processus de vérification des annonceurs et surveiller les destinations finales des clics peut réduire l'efficacité de ce type de fraude.

Si vous recherchez d'autres résultats techniques et avis publiés par les équipes qui ont analysé ces campagnes, vous devriez consulter les travaux de réponse et d'analyse des fabricants eux-mêmes et des groupes spécialisés. Les sources de référence comprennent les pages des entreprises qui enquêtent sur la fraude et les menaces en ligne telles que Cleafy ( cleafy.com), rapports et blogs d'entreprises de sécurité comme Outpos24 Kraken Laboratoires ( avant poste24.com) et les organisations qui publient des renseignements sur les menaces émergentes, par exemple Breakglass Intelligence ( breakglassontel.com). Pour comprendre les recommandations de sécurité au niveau de la plateforme, la documentation de Google sur Google Play Protect et les risques sur Android est une ressource utile ( support.google.com) et les politiques publicitaires de Meta fournissent un contexte sur la façon dont les publicités devraient être gérées ( facebook.com / politiques / annonces).

En fin de compte, Mirax rappelle que les menaces mobiles ne se limitent plus au vol d'identités ou à l'interception de messages : les agresseurs transforment des appareils personnels en infrastructures réutilisables pour des opérations criminelles plus vastes. La combinaison de l'ingénierie sociale par la publicité ciblée, l'hébergement dans les services publics pour camoufler les URL et le développement technique qui priorise l'évasion et la persistance nécessite une réponse coordonnée entre les utilisateurs, les plateformes et les spécialistes de la sécurité.

La bonne nouvelle est que les défenses de base restent très efficaces: éviter les installations d'origine non vérifiée, limiter les permis d'accessibilité, tenir le système à jour et utiliser des solutions de sécurité mobiles reconnues réduisent considérablement le risque de faire partie d'un bouton mandataire ou d'un réseau de fraude. La mauvaise nouvelle est que, tant que ces pratiques ne sont pas universelles, des projets comme Mirax continueront de trouver des victimes et des clients pour leur « service ».