Mirax Android RAT: Ihr Smartphone könnte als Proxy missbraucht werden

Eine neue Android-Malware nutzt Ihr Smartphone als Proxy

Cybersicherheitsforscher haben eine ausgeklügelte neue Bedrohung namens Mirax Android RAT aufgedeckt – einen Remote Access Trojan, der über Werbeanzeigen auf Meta-Plattformen wie Facebook und Instagram bereits mehr als 220.000 Nutzer unbemerkt erreicht hat. Was Mirax besonders bemerkenswert macht, ist nicht nur sein Ausmaß, sondern was er nach der Installation anrichtet: Er verwandelt infizierte Android-Geräte in Knotenpunkte eines SOCKS5-Proxy-Netzwerks und macht gewöhnliche Smartphones damit zu Werkzeugen, die kriminellen Internetverkehr weiterleiten.

Wenn Sie jemals auf eine mobile Werbeanzeige geklickt haben und aufgefordert wurden, eine App außerhalb des offiziellen Google Play Stores zu installieren, ist diese Bedrohung für Sie relevant.

Was ist ein SOCKS5-Proxy-Botnetz und warum bauen Kriminelle so etwas auf?

Um zu verstehen, warum Mirax gefährlich ist, hilft es, zu verstehen, was SOCKS5-Proxys sind und warum sie für Cyberkriminelle wertvoll sind.

Ein SOCKS5-Proxy ist eine Art Internet-Relais, das Netzwerkverkehr über ein zwischengeschaltetes Gerät leitet. Es gibt legitime Verwendungszwecke: Unternehmen nutzen Proxys für das Netzwerkmanagement, und datenschutzbewusste Nutzer leiten ihren Datenverkehr manchmal über vertrauenswürdige Server um, um ihre IP-Adressen zu verschleiern. SOCKS5 ist flexibel und schnell, was es sowohl für legitime als auch für bösartige Zwecke attraktiv macht.

Kriminelle schätzen Proxy-Netzwerke jedoch aus einem bestimmten Grund: Anonymität. Wenn Angreifer ihre Aktivitäten über tausende kompromittierte Smartphones leiten, wird ihr tatsächlicher Standort und ihre Identität nahezu unmöglich zu verfolgen. Jedes infizierte Gerät dient als Sprungbrett. Ermittler, die einer Cyberattacke folgen, könnten am Ende auf das Smartphone einer unschuldigen Person in einem anderen Land zeigen – anstatt auf den eigentlichen Angreifer.

Das ist auch der Grund, warum botnetzbetriebene Proxy-Netzwerke auf kriminellen Märkten kommerziell wertvoll sind. Betreiber können den Zugang zu diesen Netzwerken vermieten und anderen Kriminellen einen verteilten, sich ständig erneuernden Pool von Wohn-IP-Adressen bereitstellen, die weitaus legitimer wirken als Rechenzentrums-Server, die von Sicherheitssystemen typischerweise markiert werden.

Der Mirax RAT scheint darauf ausgelegt zu sein, genau diese Art von Infrastruktur aufzubauen und dabei gleichzeitig persönliche Daten von infizierten Geräten zu stehlen.

Wie sich Mirax über Meta-Werbung verbreitet

Der Verbreitungsmechanismus von Mirax verdient eine genaue Betrachtung, da er etwas ausnutzt, womit die meisten Nutzer inzwischen vertraut sind: Social-Media-Werbung.

Forscher stellten fest, dass Mirax seine mehr als 220.000 Opfer über bösartige Werbeanzeigen auf Meta-Plattformen erreicht hat. Diese Anzeigen haben Nutzer wahrscheinlich dazu verleitet, Anwendungen außerhalb offizieller App-Stores herunterzuladen – eine Technik, die als Sideloading bekannt ist. Androids offene Architektur erlaubt es Nutzern, Apps aus Drittanbieter-Quellen zu installieren, was eine Funktion ist, die Malware-Verteiler konsequent ausnutzen.

Der Einsatz von bezahlter Werbung zur Verbreitung von Malware spiegelt einen umfassenderen Wandel in der Vorgehensweise von Cyberkriminellen wider. Anstatt sich ausschließlich auf Phishing-E-Mails oder kompromittierte Websites zu verlassen, investieren Bedrohungsakteure nun in legitime Werbeinfrastruktur, um große Zielgruppen schnell und überzeugend zu erreichen. Eine gut gestaltete Anzeige kann vertrauenswürdig wirken, insbesondere wenn sie neben Inhalten von Freunden und Familie erscheint.

Meta verfügt über Systeme zur Erkennung und Entfernung bösartiger Anzeigen, aber das Ausmaß seiner Werbeplattform bedeutet, dass manche Kampagnen unweigerlich durchschlüpfen, bevor sie entdeckt werden.

Was das für Sie bedeutet

Wenn Sie ein Android-Gerät nutzen und regelmäßig mit Social-Media-Werbung interagieren, ist die Mirax-Kampagne eine direkte Erinnerung an mehrere praktische Risiken.

Erstens kann Ihr Gerät ohne Ihr Wissen kompromittiert und zur Erleichterung krimineller Aktivitäten genutzt werden. Teil eines Botnetzes zu sein, verursacht nicht unbedingt offensichtliche Symptome. Ihr Smartphone könnte etwas wärmer laufen oder den Akku schneller entleeren, aber viele Nutzer würden das nicht bemerken oder diese Anzeichen auf etwas anderes zurückführen.

Zweitens sind die Ziele, die kriminelle Proxy-Netzwerke verfolgen – insbesondere das Verschleiern von Datenverkehr und das Verbergen der Identität im Internet – dieselben Ziele, die Verbraucher legitim über VPNs und Datenschutz-Tools anstreben. Der entscheidende Unterschied liegt in Zustimmung und Sicherheit. Ein legitimes VPN leitet Ihren eigenen Datenverkehr über einen vertrauenswürdigen, verschlüsselten Server, den Sie selbst gewählt haben. Ein Botnetz leitet den kriminellen Datenverkehr anderer ohne Ihr Wissen über Ihr Gerät und setzt Sie damit potenzieller rechtlicher Prüfung aus, während es Ihre Bandbreite und Ihr Datenvolumen verbraucht.

Drittens macht das Erscheinen von App-Werbung auf Social-Media-Plattformen diese Anwendungen nicht sicher. Die Quelle einer Anzeige garantiert nicht die Legitimität des Beworbenen.

Konkrete Maßnahmen zum Schutz Ihres Android-Geräts

Sich vor Bedrohungen wie Mirax zu schützen erfordert keine technischen Kenntnisse, aber konsequente Gewohnheiten.

• Installieren Sie Apps ausschließlich aus dem Google Play Store. Vermeiden Sie das Sideloading von Anwendungen, zu dem Sie durch Werbeanzeigen, Links in Nachrichten oder Drittanbieter-Websites aufgefordert werden – unabhängig davon, wie legitim sie erscheinen.
• Überprüfen Sie App-Berechtigungen sorgfältig. Eine Taschenlampen-App benötigt keinen Zugriff auf Ihre Kontakte oder die Möglichkeit, Netzwerkdienste im Hintergrund auszuführen. Übermäßige Berechtigungen sind ein Warnsignal.
• Halten Sie Ihr Betriebssystem und Ihre Apps aktuell. Sicherheits-Patches schließen Schwachstellen, die Malware ausnutzt.
• Verwenden Sie seriöse mobile Sicherheitssoftware. Mehrere angesehene Sicherheitsanwendungen können bekannte Malware-Familien erkennen und verdächtiges Verhalten melden.
• Seien Sie gegenüber mobilen Werbeanzeigen, die App-Downloads bewerben, skeptisch. Wenn eine Anzeige Sie zu einer Installation drängt, überprüfen Sie die App über offizielle Kanäle, bevor Sie fortfahren.
• Überwachen Sie Ihren Datenverbrauch. Unerklärliche Spitzen beim Hintergrunddatenverbrauch können darauf hinweisen, dass Ihr Gerät für Zwecke genutzt wird, denen Sie nicht zugestimmt haben.

Der Mirax Android RAT ist ein deutliches Beispiel dafür, wie kriminelle Operationen ausgereift sind, um alltägliche digitale Gewohnheiten in großem Maßstab auszunutzen. Zu verstehen, wie diese Angriffe funktionieren, ist der erste Schritt, um Entscheidungen zu treffen, die Ihr Gerät, Ihre Daten und Ihre Internetverbindung wirklich Ihnen gehören lassen.