Ciberseguridad

Mirax Android RAT: Tu teléfono podría ser un proxy

15 de abril de 20265 min de lectura

Por Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: Tu teléfono podría ser un proxy

Un nuevo malware para Android está usando tu teléfono como proxy

Investigadores de ciberseguridad han descubierto una nueva y sofisticada amenaza llamada Mirax Android RAT, un troyano de acceso remoto que silenciosamente ha alcanzado a más de 220.000 usuarios a través de anuncios publicados en plataformas de Meta, incluyendo Facebook e Instagram. Lo que hace que Mirax sea especialmente destacable no es solo su escala, sino lo que hace una vez instalado: convierte los dispositivos Android infectados en nodos de una red proxy SOCKS5, transformando efectivamente smartphones ordinarios en herramientas que enrutan tráfico criminal de internet.

Si alguna vez has hecho clic en un anuncio móvil y se te ha pedido que instales una aplicación fuera de la Google Play Store oficial, esta amenaza es relevante para ti.

¿Qué es una botnet proxy SOCKS5 y por qué la construyen los criminales?

Para entender por qué Mirax es peligroso, conviene comprender qué son los proxies SOCKS5 y por qué son valiosos para los cibercriminales.

Un proxy SOCKS5 es un tipo de retransmisor de internet que enruta el tráfico de red a través de un dispositivo intermediario. Existen usos legítimos: las empresas utilizan proxies para la gestión de redes, y los usuarios preocupados por su privacidad a veces enrutan su tráfico a través de servidores de confianza para enmascarar sus direcciones IP. SOCKS5 es flexible y rápido, lo que lo hace atractivo tanto para usos legítimos como maliciosos.

Sin embargo, los criminales valoran las redes proxy por una razón específica: el anonimato. Cuando los atacantes enrutan su actividad a través de miles de smartphones comprometidos, su ubicación e identidad reales se vuelven casi imposibles de rastrear. Cada dispositivo infectado actúa como un escalón. Los investigadores que siguen el rastro de un ciberataque pueden terminar apuntando al teléfono de una persona inocente en otro país, en lugar del atacante real.

Esta es también la razón por la que las redes proxy basadas en botnets tienen valor comercial en los mercados criminales. Los operadores pueden alquilar el acceso a estas redes, proporcionando a otros actores maliciosos un conjunto distribuido y en constante renovación de direcciones IP residenciales que parecen mucho más legítimas que los servidores de centros de datos, que habitualmente quedan marcados por los sistemas de seguridad.

El Mirax RAT parece diseñado para construir exactamente este tipo de infraestructura, mientras simultáneamente roba datos personales de los dispositivos infectados.

Cómo se distribuye Mirax a través de la publicidad de Meta

El mecanismo de distribución de Mirax merece ser examinado con detenimiento, porque explota algo con lo que la mayoría de los usuarios se han familiarizado: los anuncios en redes sociales.

Los investigadores descubrieron que Mirax alcanzó a sus más de 220.000 víctimas a través de anuncios maliciosos publicados en plataformas de Meta. Es probable que estos anuncios dirigieran a los usuarios a descargar aplicaciones fuera de las tiendas de aplicaciones oficiales, una técnica conocida como sideloading. La arquitectura abierta de Android permite a los usuarios instalar aplicaciones de fuentes de terceros, una característica que los distribuidores de malware explotan de forma sistemática.

El uso de publicidad de pago para distribuir malware refleja un cambio más amplio en la forma en que operan los cibercriminales. En lugar de depender únicamente de correos electrónicos de phishing o sitios web comprometidos, los actores maliciosos ahora invierten en infraestructura publicitaria legítima para llegar rápida y convincentemente a grandes audiencias. Un anuncio bien elaborado puede parecer de confianza, especialmente cuando aparece junto al contenido de amigos y familiares.

Meta cuenta con sistemas para detectar y eliminar anuncios maliciosos, pero la escala de su plataforma publicitaria hace que algunas campañas inevitablemente pasen desapercibidas antes de ser detectadas.

Lo que esto significa para ti

Si usas un dispositivo Android e interactúas habitualmente con anuncios en redes sociales, la campaña de Mirax es un recordatorio directo de varios riesgos prácticos.

En primer lugar, tu dispositivo puede verse comprometido sin que lo sepas y ser utilizado para facilitar actividades criminales. Formar parte de una botnet no genera necesariamente síntomas evidentes. Es posible que tu teléfono se caliente un poco más o que la batería se agote más rápido, pero muchos usuarios no lo notarían o lo atribuirían a otra causa.

En segundo lugar, los objetivos que persiguen las redes proxy criminales —específicamente enmascarar el tráfico y ocultar la identidad en línea— son los mismos que los consumidores buscan legítimamente a través de VPNs y herramientas de privacidad. La diferencia fundamental es el consentimiento y la seguridad. Una VPN legítima enruta tu propio tráfico a través de un servidor cifrado y de confianza que tú mismo has elegido. Una botnet enruta el tráfico criminal de otra persona a través de tu dispositivo sin tu conocimiento, exponiéndote a un posible escrutinio legal y consumiendo tu ancho de banda y tus datos.

En tercer lugar, encontrar anuncios de aplicaciones en plataformas de redes sociales no hace que esas aplicaciones sean seguras. La procedencia de un anuncio no garantiza la legitimidad de lo que se anuncia.

Pasos concretos para proteger tu dispositivo Android

Protegerse de amenazas como Mirax no requiere conocimientos técnicos, pero sí hábitos constantes.

Instala aplicaciones únicamente desde la Google Play Store. Evita el sideloading de aplicaciones promovidas mediante anuncios, enlaces en mensajes o sitios web de terceros, independientemente de lo legítimas que parezcan.
Revisa cuidadosamente los permisos de las aplicaciones. Una aplicación de linterna no necesita acceso a tus contactos ni la capacidad de ejecutar servicios de red en segundo plano. Los permisos excesivos son una señal de alerta.
Mantén actualizado tu sistema operativo y tus aplicaciones. Los parches de seguridad cierran las vulnerabilidades que el malware explota.
Utiliza software de seguridad móvil de confianza. Varias aplicaciones de seguridad de reconocido prestigio pueden detectar familias de malware conocidas y señalar comportamientos sospechosos.
Sé escéptico ante los anuncios móviles que promueven descargas de aplicaciones. Si un anuncio te empuja a realizar una instalación, verifica la aplicación a través de los canales oficiales antes de continuar.
Monitoriza tu consumo de datos. Los picos inexplicables en el consumo de datos en segundo plano pueden indicar que tu dispositivo está siendo utilizado para fines que no has autorizado.

El Mirax Android RAT es un claro ejemplo de cómo las operaciones criminales han evolucionado para explotar a gran escala los hábitos digitales cotidianos. Entender cómo funcionan estos ataques es el primer paso para tomar decisiones que mantengan tu dispositivo, tus datos y tu conexión a internet genuinamente bajo tu control.

// FAQ

¿Qué es el Mirax Android RAT?

Mirax es un troyano de acceso remoto dirigido a dispositivos Android que convierte los smartphones infectados en nodos de una red proxy SOCKS5. Ha alcanzado a más de 220.000 usuarios a través de anuncios maliciosos en plataformas de Meta, incluyendo Facebook e Instagram.

¿Cómo se distribuye Mirax entre sus víctimas?

Mirax se distribuye a través de anuncios maliciosos publicados en plataformas de Meta que dirigen a los usuarios a descargar aplicaciones fuera de la Google Play Store oficial, una técnica conocida como sideloading. La arquitectura abierta de Android permite este tipo de instalación de aplicaciones de terceros, algo que los distribuidores de malware explotan.

¿Qué hace Mirax una vez que infecta un dispositivo?

Una vez instalado, Mirax convierte el dispositivo Android infectado en un nodo de una red proxy SOCKS5, enrutando tráfico criminal de internet a través del teléfono de la víctima. También roba datos personales de los dispositivos infectados.

¿Por qué los criminales quieren construir redes proxy como la que crea Mirax?

Los criminales utilizan las redes proxy para mantener el anonimato, ya que enrutar la actividad a través de miles de smartphones comprometidos hace que su ubicación real sea casi imposible de rastrear. También pueden alquilar el acceso a estas redes, proporcionando a otros actores maliciosos un conjunto de direcciones IP residenciales que parecen legítimas a los sistemas de seguridad.

¿Quién está en riesgo ante el Mirax Android RAT?

Cualquier persona que use un dispositivo Android y haya hecho clic en un anuncio móvil que le haya pedido instalar una aplicación fuera de la Google Play Store oficial está potencialmente en riesgo. El malware apunta específicamente a los usuarios que realizan sideloading de aplicaciones desde fuentes de terceros.