行业新闻与博客

一种名为 Mirax 的新型 Android 银行木马正在欧洲蔓延，它结合了远程访问功能和住宅代理功能，以扩大其影响范围。

根据 Cleafy 发布的一份公告，该恶意软件已被发现以西班牙语用户为目标，其攻击活动通过社交媒体平台上的广告覆盖了超过 20 万个帐户。

Cleafy 表示，Mirax 代表了 Android 恶意软件开发和部署方式的转变。与传统威胁不同，它采用受限的恶意软件即服务（MaaS）模式运行，仅允许少数关联方访问。这种受控方式似乎旨在维护运行安全的同时，提高攻击活动的有效性。

该恶意软件使攻击者能够实时完全控制受感染的设备。它可以执行命令、监控活动，并在合法应用程序上部署虚假覆盖层以窃取敏感数据。这些覆盖层是从命令与控制 (C2) 服务器动态获取的，这使得检测工作更加复杂。

Mirax 还集成了监控功能，包括持续键盘记录和收集锁屏详细信息，例如 PIN 码结构和生物识别信息。这使得攻击者能够在不引起怀疑的情况下收集凭证和个人信息。

社会工程驱动分销

这些攻击活动利用社会工程学手段大规模接触受害者。恶意广告推广非法流媒体应用程序，诱导用户从官方应用商店以外的渠道下载软件。

分销链的关键要素包括：

• 社交媒体广告用于触达大量受众

• 伪装成 IPTV 或流媒体应用程序的投放器

• 托管在 GitHub 上的恶意软件，频繁更新

• 旨在规避自动分析的设备检查

安装完成后，该恶意软件会执行多阶段流程，解密隐藏的有效载荷并通过 WebSocket 建立通信通道。这些通道使攻击者能够远程控制设备并窃取数据。

代理功能扩大了攻击潜力

Mirax 的一大特色是能够将受感染的设备转换为住宅代理节点。这使得攻击者能够通过合法的 IP 地址路由恶意流量，从而绕过地理限制和欺诈检测系统。

此功能将恶意软件的作用扩展到金融盗窃之外。受感染的设备可用作更广泛的网络犯罪活动的基础设施，包括账户盗用 (ATO) 和匿名网络攻击。

Cleafy 表示，Mirax 反映了移动威胁领域更广泛的演变趋势，即攻击工具正变得更加模块化和商业化。尽管目前的攻击活动主要集中在西班牙，但分析师警告称，随着攻击者不断改进策略，该恶意软件的影响范围可能会扩大。