Qu'est-ce que le Mirax Android RAT ?

Mirax est un cheval de Troie d'accès à distance ciblant les appareils Android qui convertit les smartphones infectés en nœuds au sein d'un réseau proxy SOCKS5. Il a touché plus de 220 000 utilisateurs via des publicités malveillantes sur les plateformes Meta, notamment Facebook et Instagram.

Comment Mirax se propage-t-il auprès des victimes ?

Mirax se propage via des publicités malveillantes diffusées sur les plateformes Meta qui dirigent les utilisateurs vers le téléchargement d'applications en dehors du Google Play Store officiel, une technique connue sous le nom de chargement latéral (sideloading). L'architecture ouverte d'Android permet ce type d'installation d'applications tierces, que les distributeurs de logiciels malveillants exploitent.

Que fait Mirax une fois qu'il a infecté un appareil ?

Une fois installé, Mirax convertit l'appareil Android infecté en un nœud au sein d'un réseau proxy SOCKS5, acheminant le trafic internet criminel via le téléphone de la victime. Il vole également des données personnelles sur les appareils infectés.

Pourquoi les criminels souhaitent-ils construire des réseaux proxy comme celui que crée Mirax ?

Les criminels utilisent les réseaux proxy pour rester anonymes, car l'acheminement de leur activité via des milliers de smartphones compromis rend leur véritable localisation presque impossible à retracer. Ils peuvent également louer l'accès à ces réseaux, offrant à d'autres acteurs malveillants un pool d'adresses IP résidentielles qui paraissent légitimes aux systèmes de sécurité.

Qui est exposé au risque du Mirax Android RAT ?

Toute personne utilisant un appareil Android et ayant cliqué sur une publicité mobile l'invitant à installer une application en dehors du Google Play Store officiel est potentiellement à risque. Le logiciel malveillant cible spécifiquement les utilisateurs qui chargent des applications en mode latéral depuis des sources tierces.

Mirax Android RAT : Votre téléphone pourrait servir de proxy

Un nouveau logiciel malveillant Android utilise votre téléphone comme proxy

Des chercheurs en cybersécurité ont découvert une nouvelle menace sophistiquée appelée Mirax Android RAT, un cheval de Troie d'accès à distance qui a discrètement touché plus de 220 000 utilisateurs via des publicités diffusées sur les plateformes Meta, notamment Facebook et Instagram. Ce qui rend Mirax particulièrement remarquable, ce n'est pas seulement son ampleur, mais ce qu'il fait une fois installé : il transforme les appareils Android infectés en nœuds au sein d'un réseau proxy SOCKS5, convertissant ainsi des smartphones ordinaires en outils servant à acheminer du trafic internet criminel.

Si vous avez déjà cliqué sur une publicité mobile et été invité à installer une application en dehors du Google Play Store officiel, cette menace vous concerne directement.

Qu'est-ce qu'un botnet proxy SOCKS5 et pourquoi les criminels en construisent-ils ?

Pour comprendre pourquoi Mirax est dangereux, il est utile de comprendre ce que sont les proxys SOCKS5 et pourquoi ils sont précieux pour les cybercriminels.

Un proxy SOCKS5 est un type de relais internet qui achemine le trafic réseau via un appareil intermédiaire. Il existe des usages légitimes : les entreprises utilisent des proxys pour la gestion de leur réseau, et les utilisateurs soucieux de leur vie privée font parfois transiter leur trafic par des serveurs de confiance pour masquer leur adresse IP. Le protocole SOCKS5 est flexible et rapide, ce qui le rend attrayant aussi bien pour des usages légitimes que malveillants.

Les criminels, cependant, accordent une valeur particulière aux réseaux proxy pour une raison précise : l'anonymat. Lorsque des attaquants font transiter leur activité par des milliers de smartphones compromis, leur véritable localisation et leur identité deviennent presque impossibles à retracer. Chaque appareil infecté sert de tremplin. Les enquêteurs qui remontent la piste d'une cyberattaque peuvent finir par pointer vers le téléphone d'une personne innocente dans un autre pays, plutôt que vers l'attaquant réel.

C'est également pourquoi les réseaux proxy basés sur des botnets ont une valeur commerciale sur les marchés criminels. Les opérateurs peuvent louer l'accès à ces réseaux, offrant à d'autres acteurs malveillants un pool distribué et constamment renouvelé d'adresses IP résidentielles qui paraissent bien plus légitimes que les serveurs de centres de données, généralement signalés par les systèmes de sécurité.

Le RAT Mirax semble conçu pour construire exactement ce type d'infrastructure, tout en volant simultanément des données personnelles sur les appareils infectés.

Comment Mirax se propage via la publicité Meta

Le vecteur de diffusion de Mirax mérite d'être examiné attentivement, car il exploite quelque chose avec lequel la plupart des utilisateurs sont devenus à l'aise : les publicités sur les réseaux sociaux.

Les chercheurs ont découvert que Mirax a atteint ses plus de 220 000 victimes via des publicités malveillantes diffusées sur les plateformes Meta. Ces publicités dirigeaient vraisemblablement les utilisateurs vers le téléchargement d'applications en dehors des boutiques d'applications officielles, une technique connue sous le nom de chargement latéral (sideloading). L'architecture ouverte d'Android permet aux utilisateurs d'installer des applications depuis des sources tierces, une fonctionnalité que les distributeurs de logiciels malveillants exploitent systématiquement.

Le recours à la publicité payante pour distribuer des logiciels malveillants reflète une évolution plus large dans la façon dont les cybercriminels opèrent. Plutôt que de s'appuyer uniquement sur des e-mails d'hameçonnage ou des sites web compromis, les acteurs malveillants investissent désormais dans des infrastructures publicitaires légitimes pour atteindre rapidement et de manière convaincante un large public. Une publicité bien conçue peut paraître digne de confiance, surtout lorsqu'elle s'affiche aux côtés de contenus provenant d'amis et de proches.

Meta dispose de systèmes pour détecter et supprimer les publicités malveillantes, mais l'ampleur de sa plateforme publicitaire signifie que certaines campagnes parviennent inévitablement à passer entre les mailles du filet avant d'être détectées.

Ce que cela signifie pour vous

Si vous utilisez un appareil Android et interagissez régulièrement avec des publicités sur les réseaux sociaux, la campagne Mirax est un rappel direct de plusieurs risques concrets.

Premièrement, votre appareil peut être compromis à votre insu et utilisé pour faciliter des activités criminelles. Faire partie d'un botnet ne provoque pas nécessairement de symptômes évidents. Votre téléphone peut légèrement chauffer davantage ou voir sa batterie se décharger plus vite, mais beaucoup d'utilisateurs ne le remarqueraient pas ou attribueraient ces signes à autre chose.

Deuxièmement, les objectifs que servent les réseaux proxy criminels — masquer le trafic et dissimuler l'identité en ligne — sont les mêmes que ceux que les consommateurs poursuivent légitimement via des VPN et des outils de protection de la vie privée. La différence cruciale réside dans le consentement et la sécurité. Un VPN légitime fait transiter votre propre trafic par un serveur chiffré de confiance que vous avez choisi. Un botnet fait transiter le trafic criminel d'une tierce personne par votre appareil à votre insu, vous exposant à un potentiel examen juridique et consommant votre bande passante et vos données.

Troisièmement, rencontrer des publicités pour des applications sur des plateformes de réseaux sociaux ne garantit pas la sécurité de ces applications. La source d'une publicité ne garantit pas la légitimité de ce qui est annoncé.

Mesures concrètes pour protéger votre appareil Android

Se protéger contre des menaces comme Mirax ne nécessite pas de compétences techniques, mais exige des habitudes cohérentes.

N'installez des applications que depuis le Google Play Store. Évitez le chargement latéral d'applications suggérées par des publicités, des liens dans des messages ou des sites tiers, quelle que soit leur apparence de légitimité.
Examinez attentivement les autorisations des applications. Une application de lampe de poche n'a pas besoin d'accéder à vos contacts ni de pouvoir exécuter des services réseau en arrière-plan. Des autorisations excessives constituent un signal d'alarme.
Maintenez votre système d'exploitation et vos applications à jour. Les correctifs de sécurité corrigent les vulnérabilités exploitées par les logiciels malveillants.
Utilisez un logiciel de sécurité mobile réputé. Plusieurs applications de sécurité reconnues peuvent détecter les familles de logiciels malveillants connus et signaler les comportements suspects.
Soyez méfiant face aux publicités mobiles faisant la promotion de téléchargements d'applications. Si une publicité vous pousse à effectuer une installation, vérifiez l'application via les canaux officiels avant de procéder.
Surveillez votre consommation de données. Des pics inexpliqués de consommation de données en arrière-plan peuvent indiquer que votre appareil est utilisé à des fins que vous n'avez pas autorisées.

Le RAT Android Mirax est un exemple clair de la façon dont les opérations criminelles ont évolué pour exploiter les habitudes numériques quotidiennes à grande échelle. Comprendre le fonctionnement de ces attaques est la première étape pour faire des choix qui maintiennent votre appareil, vos données et votre connexion internet véritablement entre vos mains.

Un nouveau logiciel malveillant Android utilise votre téléphone comme proxy

Qu'est-ce qu'un botnet proxy SOCKS5 et pourquoi les criminels en construisent-ils ?

Comment Mirax se propage via la publicité Meta

Ce que cela signifie pour vous

Mesures concrètes pour protéger votre appareil Android

// FAQ

// Similaires