Mirax Android RAT 进化为代理网络和数据窃取能力

执行摘要

Mirax Android 远程访问木马（RAT）已经演变成一个复杂的恶意软件即服务（MaaS）操作，主要针对欧洲用户。根据 SecurityWeek 的分析，该恶意软件的核心功能现在包括将受感染的设备奴役到住宅代理网络中，并收集包括银行和社会媒体应用程序凭据在内的广泛敏感数据。该操作似乎受到严格控制，仅提供给有限的讲俄语的合作伙伴，他们通过社交工程和恶意网站分发恶意软件。

技术分析

Mirax 是一个功能丰富的 Android RAT，以恶意 APK 文件的形式分发。一旦安装，它请求广泛的权限，包括辅助服务，以绕过安全控制并保持持久性。恶意软件建立与命令和控制（C2）服务器的连接，等待操作员的指令。

当前活动的主要功能是秘密将受感染的 Android 设备注册到住宅代理网络中。然后，受感染手机的互联网连接被出售给其他需要非数据中心 IP 地址的活动的网络犯罪分子，例如凭证填充、广告欺诈或进一步的恶意扫描。这种货币化方法为操作员提供了稳定的收入流，同时消耗受害者的数据，并可能使他们卷入犯罪活动。

除了代理模块外，Mirax 还充当强大的信息窃取者。它可以记录按键，捕获屏幕截图，通过麦克风录制音频，并收集文件和联系人列表。恶意软件专门配置为针对预定义应用程序列表中的凭据，其中包括流行的欧洲银行应用程序、加密货币钱包、像 Instagram 和 Facebook 这样的社交媒体平台，以及 WhatsApp 和 Telegram 等消息服务。被盗数据被转移到 C2 服务器。

入侵指标

目前没有识别出任何指标。SecurityWeek 的报告没有发布与活动活动相关的特定哈希值、域或 IP 地址。组织和个人应依赖于描述功能的的行为检测。

战术、技术与程序

威胁行为者采用多方面的分发和执行方法，与 MaaS 模型一致。

• 初始访问 (TA0001)： 恶意软件可能通过网络钓鱼消息、假广告或被破坏的网站分发，诱骗用户下载和安装恶意 APK。使用社交工程绕过 Android 的安全警告是关键技术。
• 执行 (TA0002)： 通过用户交互安装 APK 来实现执行。然后恶意软件滥用 Android 的辅助服务（T1626）为自己授予更多权限，并自动禁用安全功能。
• 持久性 (TA0003)： Mirax 使用辅助服务特权以防止自身被移除，并在设备上保持持久的立足点。
• 收集 (TA0009) & 外泄 (TA0010)： RAT 采用键盘记录（T1056.001）、屏幕捕获（T1113）和音频捕获（T1123）来收集敏感数据。它通过标准的 HTTP/HTTPS 通道将这些数据外泄到操作员控制的服务器。
• 资源劫持 (TA0036)： 代理网络模块构成资源劫持，将受害者的设备变成网络代理（T1090.002）供其他恶意行为者使用。

威胁行为者背景

该操作被描述为 MaaS，意味着核心开发人员维护和更新 Mirax RAT 代码库和基础设施，并租用访问权限。SecurityWeek 报告称，这项服务提供给“一小部分合作伙伴，主要是讲俄语的人。”这表明一个封闭或审查的合作伙伴计划，可能为了维护操作安全和质量控制，而不是开源或广泛可用的犯罪软件包。针对欧洲用户表明合作伙伴的目标人群或测试场，尽管 MaaS 模型意味着恶意软件可能被不同的客户指向其他地方。没有明确的归属已知的高级持续性威胁（APT）组；该活动与以财务为动机的网络犯罪一致。

缓解措施与建议

Android 用户和企业移动性管理员应采取以下步骤来防御像 Mirax 这样的威胁：

• 仔细选择应用程序： 仅从官方 Google Play 商店安装应用程序。虽然不是万无一失，但与第三方网站或直接 APK 下载相比，它提供了重要的安全基线。
• 审查权限： 对于任何应用程序，特别是从官方渠道之外下载的应用程序，要非常警惕，特别是那些请求辅助服务权限的应用程序。此权限是恶意软件的主要危险信号。
• 保持设备更新： 确保 Android 设备运行最新的可用操作系统版本和安全补丁，以减轻可能用于权限提升的潜在利用向量。
• 使用信誉良好的安全软件： 考虑安装信誉良好的移动安全解决方案，可以检测恶意行为和已知的 RAT。
• 用户意识： 教育用户了解从不请自来的链接下载软件的风险或广告。鼓励他们报告任何异常的设备行为，如电池快速耗尽、数据使用量增加或无法解释的后台活动，这可能表明已加入代理网络。
• 网络监控： 对于企业，网络监控移动设备意外出站代理流量（例如，连接到已知代理网络服务或异常端口）可能有助于识别感染。