Nas últimas semanas, surgiu um ator malicioso para Android que reúne capacidades clássicas de troianos de acesso remoto (RAT) com um giro inquietante: além de tomar o controle do telefone, torna o dispositivo infectado em um ponto de saída para o tráfego dos atacantes. O nome que aparece nos relatórios técnicos é Mirax, e sua atividade tem sido detectada especialmente em campanhas direcionadas a países hispânicos, onde anúncios em plataformas de Meta conseguiram chegar a centenas de milhares de contas.
Mirax não só espião: também aluga a conexão do dispositivo aos atacantes. Os operadores podem interagir com o telemóvel em tempo real — ler mensagens, ativar a câmara ou o microfone, capturar pulsações e roubar credenciais através de superposições HTML — e, ao mesmo tempo, encaminhar tráfego malicioso através de um proxy SOCKS5 montado sobre a máquina comprometida. Esse duplo uso converte cada smartphone em uma peça de infraestrutura: serve tanto para fraudes voltadas para contas bancárias como para esconder operações criminosas aproveitando o endereço IP legítimo do usuário.
A informação disponível sugere que o Mirax é comercializado com um modelo tipo MaaS (malware-as-a-service). Pesquisadores que seguiram a pista do projeto indicam que existe um painel de gestão e um ecossistema de afiliados, e que o produto aparece em fóruns clandestinos sob condições de acesso restrito. Essa abordagem —controlar cuidadosamente quem pode usar o malware — encaixa com a intenção de limitar a visibilidade e preservar a “qualidade” das campanhas.
O vetor de entrada mais repetido nos casos detectados foi a publicidade paga. Os atacantes criam anúncios atrativos que prometem serviços de streaming gratuitos e redeirigen a páginas pensadas para que o usuário baixe um instalador (um “dropper”) em formato APK. É notável que alguns destes instaladores estejam alojados em repositórios públicos como o GitHub, o que ajuda a que os URLs pareçam legítimos e a dificultar a detecção automática. Uma vez baixado, o instalador insta o usuário a permitir instalações de fontes desconhecidas e a ativar permissões de acessibilidade, que depois são usadas para manter o controle e colocar telas superpostas que ocultam ações maliciosas.
O desenho do processo de infecção é deliberadamente complexo. As análises técnicas descrevem um fluxo em várias etapas pensado para saltar ferramentas automáticas de análise e sandboxes: o dropper descomprime cargas úteis, executa verificações para confirmar que o arquivo foi aberto de um dispositivo móvel real e extrai o executável final que atua como RAT e como proxy. Além disso, o malware mantém múltiplos canais bidirecionais com seu servidor de controle, usando WebSocket em diferentes portos para separar tarefas - comandos remotos, exfiltração de dados e a instauração do serviço SOCKS - o que permite uma gestão modular e resiliente da operação.
Um ponto menos conhecido, mas especialmente perigoso, é a inclusão de suporte para multiplexado (por exemplo, Yamux) junto ao protocolo SOCKS5. Isso permite que os atacantes abram múltiplas conexões simultâneas através do mesmo dispositivo vítima sem levantar suspeitas em padrões simples de tráfego. A consequência prática é que um telefone só pode servir a várias operações ilegítimas ao mesmo tempo: desde realizar acessos a contas com um IP “residencial” até mascarar campanhas de fraude em larga escala.
Os métodos de distribuição e as funcionalidades técnicas colocam Mirax numa confluência entre o malware bancário tradicional e o abuso de redes de saída residenciais, uma tendência que preocupa porque multiplica o valor econômico de cada dispositivo comprometido. Além disso, a limitada distribuição do serviço — segundo os relatórios, priorizando atores com currículo em comunidades russashablantes — destaca uma estratégia de controle e profissionalização que dificulta a intervenção e a atribuição.
Em paralelo, a cena de malware móvel mostra outros desenvolvimentos similares: grupos que vendem painéis multi-usuários, RATs que se apresentam como utilidades legítimas e campanhas localizadas por idioma e temática. Um exemplo recente documentado por assinaturas de inteligência inclui uma RAT distribuída com cogumelos relacionados com serviços governamentais, o que evidencia o uso dessas ferramentas tanto para crime econômico como para vigilância dirigida.
O que os usuários e as plataformas podem fazer? Para as pessoas, a regra mais importante continua a ser a prudência: não instalar aplicativos fora de lojas oficiais, desconfiar de anúncios que prometem conteúdo de pagamento gratuito e revisar com atenção as permissões que são concedidas, sobretudo as de acessibilidade. No caso de empresas e prestadores de serviços on-line, a detecção de padrões de uso de IP residencial e a correlação de comportamentos incomuns devem ser reforçadas, bem como a identificação de anúncios maliciosos em ecossistemas publicitários. As plataformas que hospedam publicidade também têm responsabilidade: melhorar os processos de verificação de anunciantes e monitorar destinos finais de cliques pode reduzir a eficácia dessa fraude.
Se você procura aprofundar os achados técnicos e os avisos publicados pelos equipamentos que analisaram essas campanhas, convém consultar os trabalhos de resposta e análise dos próprios fabricantes e grupos especializados. Entre as fontes de referência podem ser consultadas as páginas de empresas que investigam fraude e ameaças online como Cleafy ( cleafy.com), relatórios e blogs de assinaturas de segurança como Outpost24 KrakenLabs ( otpost24.com) e organizações que publicam inteligência sobre ameaças emergentes, por exemplo Breakglass Intelligence ( breakglassintel.com). Para entender as recomendações de segurança em nível de plataforma, a documentação do Google sobre o Google Play Protect e riscos no Android é um recurso útil ( support.google.com) e as políticas de publicidade Meta oferecem contexto sobre como os anúncios devem ser geridos ( facebook.com/policies/ads).
No final, Mirax é um lembrete de que as ameaças móveis não se limitam já a roubar credenciais ou interceptar mensagens: os atacantes estão transformando dispositivos pessoais em infra-estruturas reutilizáveis para operações criminosas mais amplas. A combinação de engenharia social através de publicidade dirigida, alojamento em serviços públicos para camuflar URLs e desenvolvimento técnico que prioriza evasão e persistência exige uma resposta coordenada entre usuários, plataformas e especialistas em segurança.
A boa notícia As defesas básicas permanecem altamente eficazes: evitar instalações de origem não verificadas, limitar as permissões de acessibilidade, manter o sistema atualizado e utilizar soluções de segurança móvel reconhecidas reduzem significativamente o risco de se tornar parte de uma botnet de proxies ou de uma rede de fraude. A má notícia é que, enquanto essas práticas não sejam universais, projetos como Mirax continuarão encontrando vítimas e clientes para seu “serviço”.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...