Mirax Android RAT 窃取凭证，将手机变成代理网络的奴隶

执行摘要

新发现的名为 Mirax 的 Android 远程访问木马（RAT）正在被分发，以创建一个双重用途的移动僵尸网络。根据其在地下论坛上宣传的能力分析，该恶意软件的主要功能是从受害者那里获取银行凭证和财务数据，并将感染的 Android 设备悄无声息地注册到住宅代理网络中。然后，这个网络被出售给其他网络犯罪分子，以匿名化恶意流量，使 Mirax 成为直接的金融威胁和基础设施即服务的促进者。该恶意软件自 2025 年底开始流传，报告称在欧洲有针对性活动。

技术分析

Mirax 是一个功能丰富的 RAT，通过典型的 Android 感染向量分发，可能包括网络钓鱼链接和伪装成合法软件的恶意应用程序。一旦安装，它请求广泛的权限以获得持久性和访问敏感数据。恶意软件的核心恶意模块在两个并行流中运行。第一个专门用于金融盗窃，使用叠加攻击来捕获来自银行和财务应用程序的登录凭证。它还可以记录按键并从设备中收集 cookie 和自动填充数据。

第二个更独特的模块在感染设备上建立 SOCKS5 代理。这将手机变成了互联网流量的匿名出口节点，有效地使其成为住宅代理僵尸网络的一部分。代理在后台静默运行，消耗设备资源和数据带宽。僵尸网络操作员随后可以出售对这些住宅 IP 地址池的访问权限，这些地址比数据中心 IP 地址更受安全服务的信任，以供其他行为者进行诸如凭证填充、广告欺诈或抓取等活动。恶意软件的命令和控制（C2）协议和混淆方法的技术细节在可用的源材料中没有详细说明。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

威胁行为者采用多种技术来实现其目标。初始访问很可能是通过 私人用途网络钓鱼（T1598） 或 路过式妥协（T1189） 实现的，诱骗用户安装恶意 APK。对于执行和持久性，恶意软件滥用 Android 的辅助功能服务（滥用提升控制机制，T1548）以保持立足点并自动化恶意行为。其关键数据盗窃技术包括通过叠加攻击的 输入捕获：键盘记录（T1056.001） 和 输入捕获：GUI 输入捕获（T1056.002）。最值得注意的技术是 代理：连接代理（T1090） 能力，恶意软件使用感染的设备作为中介来中继命令和控制通信或客户流量，为僵尸网络的用户提供匿名性。

威胁行为者背景

目前尚未识别 Mirax 的开发者或分销商。该恶意软件正在地下网络犯罪论坛上被宣传和出售，表明这是一个 恶意软件即服务（MaaS） 或商业 RAT 模型。这种商业模式表明，主要行为者是出于财务动机，寻求从直接销售恶意软件和代理网络产生的次级收入流中获利。目标看起来广泛，源材料指出在欧洲有特别活动，但 Android 生态系统和地下市场的全球性质意味着威胁并不局限于地区。

缓解措施与建议

组织和个人应采取深度防御策略来保护移动安全。用户应仅从官方 Google Play 商店安装应用程序，尽管仍需谨慎，因为恶意应用程序有时可以逃避检测。他们应该仔细审查请求的权限，特别是辅助功能服务和叠加权限，这些权限通常被 RAT 滥用。对于所有非基本、可信来源，禁用“安装未知应用程序”（侧载）至关重要。

企业应执行移动设备管理（MDM）政策，以监控未经授权的代理配置和来自管理设备的可疑网络流量。网络监控意外出站 SOCKS5 代理流量（通常在 TCP 端口 1080 或其他配置的端口）可以帮助识别企业网络上的感染设备。由于没有特定的 CVE 与 Mirax 的初始感染向量相关联，修补不是直接的缓解措施，但保持 Android 操作系统和所有应用程序的更新仍然是关闭无关利用途径的基本最佳实践。