行業新聞與博客

一種名為 Mirax 的新型 Android 銀行木馬正在歐洲蔓延，它結合了遠程訪問功能和住宅代理功能，以擴大其影響範圍。

根據 Cleafy 發佈的一份公告，該惡意軟件已被發現以西班牙語用户為目標，其攻擊活動通過社交媒體平台上的廣告覆蓋了超過 20 萬個帳户。

Cleafy 表示，Mirax 代表了 Android 惡意軟件開發和部署方式的轉變。與傳統威脅不同，它採用受限的惡意軟件即服務（MaaS）模式運行，僅允許少數關聯方訪問。這種受控方式似乎旨在維護運行安全的同時，提高攻擊活動的有效性。

該惡意軟件使攻擊者能夠實時完全控制受感染的設備。它可以執行命令、監控活動，並在合法應用程序上部署虛假覆蓋層以竊取敏感數據。這些覆蓋層是從命令與控制 (C2) 服務器動態獲取的，這使得檢測工作更加複雜。

Mirax 還集成了監控功能，包括持續鍵盤記錄和收集鎖屏詳細信息，例如 PIN 碼結構和生物識別信息。這使得攻擊者能夠在不引起懷疑的情況下收集憑證和個人信息。

社會工程驅動分銷

這些攻擊活動利用社會工程學手段大規模接觸受害者。惡意廣告推廣非法流媒體應用程序，誘導用户從官方應用商店以外的渠道下載軟件。

分銷鏈的關鍵要素包括：

• 社交媒體廣告用於觸達大量受眾

• 偽裝成 IPTV 或流媒體應用程序的投放器

• 託管在 GitHub 上的惡意軟件，頻繁更新

• 旨在規避自動分析的設備檢查

安裝完成後，該惡意軟件會執行多階段流程，解密隱藏的有效載荷並通過 WebSocket 建立通信通道。這些通道使攻擊者能夠遠程控制設備並竊取數據。

代理功能擴大了攻擊潛力

Mirax 的一大特色是能夠將受感染的設備轉換為住宅代理節點。這使得攻擊者能夠通過合法的 IP 地址路由惡意流量，從而繞過地理限制和欺詐檢測系統。

此功能將惡意軟件的作用擴展到金融盜竊之外。受感染的設備可用作更廣泛的網絡犯罪活動的基礎設施，包括賬户盜用 (ATO) 和匿名網絡攻擊。

Cleafy 表示，Mirax 反映了移動威脅領域更廣泛的演變趨勢，即攻擊工具正變得更加模塊化和商業化。儘管目前的攻擊活動主要集中在西班牙，但分析師警告稱，隨着攻擊者不斷改進策略，該惡意軟件的影響範圍可能會擴大。