Киберсигурност

Mirax Android RAT: Вашият телефон може да е прокси

15 април 2026 г.5 мин четене

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: Вашият телефон може да е прокси

Нов Android зловреден софтуер използва вашия телефон като прокси

Изследователи в областта на киберсигурността са открили сложна нова заплаха, наречена Mirax Android RAT — троянски кон за отдалечен достъп, който тихомълком е достигнал до над 220 000 потребители чрез реклами, показвани на платформите на Meta, включително Facebook и Instagram. Това, което прави Mirax особено забележителен, не е само мащабът му, а това, което прави след инсталирането: превръща заразените Android устройства в възли на SOCKS5 прокси мрежа, като ефективно трансформира обикновените смартфони в инструменти, насочващи престъпния интернет трафик.

Ако някога сте кликвали върху мобилна реклама и сте били подканени да инсталирате приложение извън официалния Google Play Store, тази заплаха е от значение за вас.

Какво е SOCKS5 прокси ботнет и защо престъпниците го изграждат?

За да разберем защо Mirax е опасен, е полезно да разберем какво представляват SOCKS5 прокситата и защо са ценни за киберпрестъпниците.

SOCKS5 прокси е вид интернет релей, който насочва мрежовия трафик през посредническо устройство. Съществуват законни приложения: бизнесите използват прокси за мрежово управление, а потребители, загрижени за поверителността, понякога насочват трафика си през доверени сървъри, за да скрият своите IP адреси. SOCKS5 е гъвкав и бърз, което го прави привлекателен както за законни, така и за злонамерени цели.

Престъпниците обаче ценят прокси мрежите по конкретна причина: анонимност. Когато нападателите насочват своята активност през хиляди компрометирани смартфони, истинското им местоположение и самоличност стават почти невъзможни за проследяване. Всяко заразено устройство действа като стъпало. Разследващите, следващи следите на кибератака, могат да се окажат, сочейки към телефона на невинен човек в друга страна, вместо към действителния нападател.

Именно затова ботнет базираните прокси мрежи са търговски ценни на престъпните пазари. Операторите могат да отдават под наем достъп до тези мрежи, предоставяйки на други злонамерени участници разпределен, постоянно обновяващ се набор от жилищни IP адреси, които изглеждат много по-легитимни от сървърите в центрове за данни, обичайно маркирани от системите за сигурност.

Изглежда, че Mirax RAT е проектиран именно за изграждане на такава инфраструктура, като едновременно с това краде лични данни от заразените устройства.

Как Mirax се разпространява чрез рекламите на Meta

Механизмът за разпространение на Mirax заслужава внимателно разглеждане, тъй като експлоатира нещо, с което повечето потребители са свикнали: рекламите в социалните мрежи.

Изследователите установиха, че Mirax е достигнал до своите над 220 000 жертви чрез злонамерени реклами, работещи на платформите на Meta. Тези реклами вероятно са насочвали потребителите да изтеглят приложения извън официалните магазини за приложения — техника, известна като странично зареждане (sideloading). Отворената архитектура на Android позволява на потребителите да инсталират приложения от трети страни, което е функция, която разпространителите на зловреден софтуер постоянно експлоатират.

Използването на платена реклама за разпространение на зловреден софтуер отразява по-широка промяна в начина, по който киберпрестъпниците работят. Вместо да разчитат единствено на фишинг имейли или компрометирани уебсайтове, заплашителните участници сега инвестират в легитимна рекламна инфраструктура, за да достигат бързо и убедително до голяма аудитория. Добре изработена реклама може да изглежда надеждна, особено когато се появява редом със съдържание от приятели и семейство.

Meta разполага със системи за откриване и премахване на злонамерени реклами, но мащабът на рекламната й платформа означава, че някои кампании неизбежно се промъкват, преди да бъдат засечени.

Какво означава това за вас

Ако използвате Android устройство и редовно взаимодействате с реклами в социалните мрежи, кампанията на Mirax е пряко напомняне за няколко практически риска.

Първо, устройството ви може да бъде компрометирано без ваше знание и използвано за улесняване на престъпна дейност. Участието в ботнет не предизвиква непременно очевидни симптоми. Телефонът ви може да се нагрява малко повече или батерията му да се изтощава по-бързо, но много потребители не биха забелязали или биха приписали тези признаци на нещо друго.

Второ, целите, на които служат престъпните прокси мрежи — конкретно маскирането на трафик и скриването на самоличността онлайн — са същите цели, които потребителите законно преследват чрез VPN-и и инструменти за поверителност. Критичната разлика е съгласието и сигурността. Легитимният VPN насочва вашия собствен трафик през доверен, криптиран сървър, който сте избрали. Ботнетът насочва нечий чужд престъпен трафик през вашето устройство без ваше знание, излагайки ви на потенциален правен преглед и консумирайки вашата честотна лента и данни.

Трето, срещането на реклами за приложения в платформи за социални мрежи не прави тези приложения безопасни. Източникът на рекламата не гарантира легитимността на рекламираното.

Практически стъпки за защита на вашето Android устройство

Защитата от заплахи като Mirax не изисква техническа експертиза, но изисква последователни навици.

Инсталирайте приложения само от Google Play Store. Избягвайте страничното зареждане на приложения, подканено от реклами, връзки в съобщения или уебсайтове на трети страни, независимо колко легитимни изглеждат.
Преглеждайте внимателно разрешенията на приложенията. Приложението за фенерче не се нуждае от достъп до вашите контакти или от възможността да изпълнява фонови мрежови услуги. Прекомерните разрешения са предупредителен знак.
Поддържайте актуализирани операционната система и приложенията си. Пачовете за сигурност затварят уязвимостите, които зловредният софтуер експлоатира.
Използвайте надежден софтуер за мобилна сигурност. Няколко добре познати приложения за сигурност могат да открият известни фамилии зловреден софтуер и да маркират подозрително поведение.
Бъдете скептични към мобилни реклами, популяризиращи изтегляне на приложения. Ако дадена реклама ви насочва към инсталация, проверете приложението чрез официални канали, преди да продължите.
Следете използването на данните си. Необяснимите скокове в консумацията на фонови данни могат да показват, че устройството ви се използва за цели, за които не сте давали разрешение.

Mirax Android RAT е ясен пример за това как престъпните операции са узрели, за да експлоатират ежедневните дигитални навици в мащаб. Разбирането на начина, по който работят тези атаки, е първата стъпка към вземането на решения, които запазват вашето устройство, вашите данни и вашата интернет връзка наистина ваши.

// FAQ

Какво е Mirax Android RAT?

Mirax е троянски кон за отдалечен достъп, насочен към Android устройства, който превръща заразените смартфони в възли на SOCKS5 прокси мрежа. Той е достигнал до над 220 000 потребители чрез злонамерени реклами на платформите на Meta, включително Facebook и Instagram.

Как Mirax се разпространява до жертвите?

Mirax се разпространява чрез злонамерени реклами на платформите на Meta, които насочват потребителите да изтеглят приложения извън официалния Google Play Store — техника, известна като странично зареждане (sideloading). Отворената архитектура на Android позволява този тип инсталация на приложения от трети страни, което разпространителите на зловреден софтуер експлоатират.

Какво прави Mirax след като зарази устройство?

След инсталирането Mirax превръща заразеното Android устройство в възел на SOCKS5 прокси мрежа, насочвайки престъпен интернет трафик през телефона на жертвата. Освен това краде лични данни от заразените устройства.

Защо престъпниците искат да изграждат прокси мрежи като тази, която Mirax създава?

Престъпниците използват прокси мрежи, за да останат анонимни, тъй като насочването на активността през хиляди компрометирани смартфони прави истинското им местоположение почти невъзможно за проследяване. Те могат също така да отдават под наем достъп до тези мрежи, предоставяйки на други злонамерени участници набор от жилищни IP адреси, които изглеждат легитимни за системите за сигурност.

Кой е изложен на риск от Mirax Android RAT?

Всеки, който използва Android устройство и е кликвал върху мобилна реклама, подканила го да инсталира приложение извън официалния Google Play Store, е потенциално изложен на риск. Зловредният софтуер е насочен специално към потребители, които зареждат приложения странично от източници на трети страни.