Kiberbiztonsági

Mirax Android RAT: A telefonod proxy lehet

2026. április 15.5 perc olvasás

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: A telefonod proxy lehet

Egy új Android kártevő használja a telefonod proxyként

Kiberbiztonsági kutatók egy kifinomult új fenyegetést fedeztek fel Mirax Android RAT néven, egy távoli hozzáférési trójai programot, amely csendben már több mint 220 000 felhasználóhoz jutott el a Meta platformokon – köztük a Facebookon és az Instagramon – megjelenő hirdetéseken keresztül. Ami a Miraxot különösen figyelemre méltóvá teszi, az nem csupán a mérete, hanem az, amit telepítés után tesz: a fertőzött Android-eszközöket egy SOCKS5 proxy hálózat csomópontjaivá alakítja, ezzel hatékonyan bűnözői internetes forgalom továbbítására alkalmas eszközökké változtatva a hétköznapi okostelefonokat.

Ha valaha is kattintottál egy mobilhirdetésre, és az alkalmazás telepítésére kért fel a hivatalos Google Play Áruházon kívülről, akkor ez a fenyegetés rád is vonatkozik.

Mi az a SOCKS5 proxy botnet, és miért építenek ilyeneket a bűnözők?

Ahhoz, hogy megértsük, miért veszélyes a Mirax, érdemes megérteni, mik azok a SOCKS5 proxyk, és miért értékesek a kiberbűnözők számára.

A SOCKS5 proxy egy olyan internetes közvetítő, amely egy közbülső eszközön keresztül irányítja a hálózati forgalmat. Jogszerű felhasználási módjai is léteznek: a vállalkozások hálózatkezelésre használnak proxykat, az adatvédelmet tudatosan kezelő felhasználók pedig néha megbízható szervereken keresztül irányítják a forgalmat, hogy elrejtsék IP-címüket. A SOCKS5 rugalmas és gyors, ami vonzóvá teszi mind jogszerű, mind rosszindulatú célokra.

A bűnözők azonban egy konkrét ok miatt becsülik a proxy hálózatokat: az anonimitás miatt. Amikor a támadók tevékenységüket több ezer feltört okostelefonon keresztül irányítják, valódi tartózkodási helyük és kilétük szinte nyomozhatatlanná válik. Minden fertőzött eszköz egy-egy ugrókövet jelent. Egy kibertámadás nyomát követő nyomozók egy másik országban lévő ártatlan személy telefonjára bukkanhatnak ahelyett, hogy a tényleges támadóhoz jutnának.

Ezért is értékesek a botneten alapuló proxy hálózatok a bűnözői piacokon. Az üzemeltetők bérbe adhatják a hozzáférést ezekhez a hálózatokhoz, így más bűnözőknek egy elosztott, folyamatosan megújuló, otthoni IP-cím-készletet biztosítanak, amelyek sokkal legitimebbnek tűnnek, mint a biztonsági rendszerek által általában megjelölt adatközponti szerverek.

A Mirax RAT láthatóan pontosan ilyen infrastruktúra kiépítésére lett tervezve, miközben személyes adatokat is lop a fertőzött eszközökről.

Hogyan terjed a Mirax a Meta hirdetési rendszerén keresztül?

A Mirax terjesztési mechanizmusa figyelmes vizsgálatot érdemel, mivel olyasmit használ ki, amivel a legtöbb felhasználó már megszokott dologgá vált: a közösségi média hirdetéseit.

A kutatók megállapították, hogy a Mirax több mint 220 000 áldozathoz jutott el a Meta platformokon futó rosszindulatú hirdetéseken keresztül. Ezek a hirdetések feltehetően arra ösztönözték a felhasználókat, hogy alkalmazásokat töltsenek le a hivatalos alkalmazásáruházakon kívülről – ezt az eljárást „sideloadingnak" nevezzük. Az Android nyílt architektúrája lehetővé teszi, hogy a felhasználók harmadik féltől származó forrásokból telepítsenek alkalmazásokat, ez az a funkció, amelyet a kártevő-terjesztők következetesen kihasználnak.

A fizetett hirdetések kártevő-terjesztésre való felhasználása tükrözi azt a szélesebb körű változást, ahogyan a kiberbűnözők működnek. Ahelyett, hogy kizárólag adathalász e-mailekre vagy feltört weboldalakra támaszkodnának, a fenyegetők mostanra jogszerű hirdetési infrastruktúrákba fektetnek be, hogy gyorsan és meggyőzően érjék el a nagy közönséget. Egy jól megalkotott hirdetés megbízhatónak tűnhet, különösen ha barátok és ismerősök tartalmával együtt jelenik meg.

A Metának vannak rendszerei a rosszindulatú hirdetések felderítésére és eltávolítására, de a hirdetési platform mérete miatt egyes kampányok elkerülhetetlenül átcsúsznak a szűrőn, mielőtt lebuktatnák őket.

Mit jelent ez számodra?

Ha Android-eszközt használsz, és rendszeresen érintkezol közösségi média hirdetésekkel, a Mirax kampány közvetlen emlékeztetője számos gyakorlati kockázatnak.

Először is, az eszközöd tudtod nélkül kompromittálható, és bűnözői tevékenység elősegítésére használható. Egy botnet részének lenni nem feltétlenül jár nyilvánvaló tünetekkel. A telefonod kissé melegebbre futhat, vagy gyorsabban merülhet az akkumulátora, de sok felhasználó ezt észre sem venné, vagy mást okolna érte.

Másodszor, a bűnözői proxy hálózatok céljai – konkrétan a forgalom elfedése és az online identitás elrejtése – ugyanazok, amelyeket a fogyasztók jogszerűen igyekeznek elérni VPN-eken és adatvédelmi eszközökön keresztül. A kritikus különbség a beleegyezés és a biztonság. Egy legitim VPN a saját forgalmadat irányítja egy általad választott megbízható, titkosított szerveren keresztül. Egy botnet valaki más bűnözői forgalmát irányítja az eszközödön keresztül a tudtod nélkül, potenciális jogi vizsgálatnak téve ki téged, miközben felhasználja a sávszélességedet és adatkeretedet.

Harmadszor, az, hogy egy alkalmazásra szóló hirdetéssel találkozol közösségi média platformokon, nem teszi azt az alkalmazást biztonságossá. A hirdetés forrása nem garantálja a hirdetett dolog legitimitását.

Gyakorlati lépések az Android-eszközöd védelmére

Az olyan fenyegetések elleni védekezés, mint a Mirax, nem igényel technikai szakértelmet, de következetes szokásokat igen.

Csak a Google Play Áruházból telepíts alkalmazásokat. Kerüld a hirdetések, üzenetekben lévő linkek vagy harmadik feles weboldalak által javasolt sideloadingot, függetlenül attól, milyen legitim megjelenést mutatnak.
Gondosan ellenőrizd az alkalmazásengedélyeket. Egy zseblámpa-alkalmazásnak nincs szüksége a névjegyeidhez való hozzáférésre vagy háttérhálózati szolgáltatások futtatásának képességére. A túlzott engedélyek figyelmeztető jelek.
Tartsd naprakészen az operációs rendszeredet és az alkalmazásaidat. A biztonsági javítások bezárják azokat a sebezhetőségeket, amelyeket a kártevők kihasználnak.
Használj megbízható mobilbiztonsági szoftvert. Számos jól bevált biztonsági alkalmazás képes felismerni az ismert kártevőcsaládokat és megjelölni a gyanús viselkedést.
Légy szkeptikus az alkalmazásletöltést népszerűsítő mobilhirdetésekkel szemben. Ha egy hirdetés telepítésre ösztönöz, az installáció előtt ellenőrizd az alkalmazást a hivatalos csatornákon keresztül.
Kövesd nyomon az adatfelhasználásodat. A háttéradatok felhasználásában bekövetkező megmagyarázhatatlan ugrások arra utalhatnak, hogy az eszközödet általad nem engedélyezett célokra használják.

A Mirax Android RAT egyértelmű példája annak, hogyan értek meg a bűnözői műveletek a hétköznapi digitális szokások nagy léptékű kihasználásához. Annak megértése, hogyan működnek ezek a támadások, az első lépés afelé, hogy olyan döntéseket hozz, amelyek valóban a tiéd tartják az eszközödet, az adataidat és az internetkapcsolatodat.

// GYIK

Mi az a Mirax Android RAT?

A Mirax egy Android-eszközöket célzó távoli hozzáférési trójai program, amely a fertőzött okostelefonokat egy SOCKS5 proxy hálózat csomópontjaivá alakítja. Több mint 220 000 felhasználóhoz jutott el rosszindulatú hirdetéseken keresztül a Meta platformokon, köztük a Facebookon és az Instagramon.

Hogyan terjed a Mirax az áldozatokhoz?

A Mirax a Meta platformokon futó rosszindulatú hirdetéseken keresztül terjed, amelyek arra ösztönzik a felhasználókat, hogy alkalmazásokat töltsenek le a hivatalos Google Play Áruházon kívülről – ezt a technikát sideloadingnak nevezzük. Az Android nyílt architektúrája lehetővé teszi az ilyen típusú, harmadik féltől származó alkalmazástelepítéseket, amelyeket a kártevő-terjesztők kihasználnak.

Mit tesz a Mirax, miután megfertőz egy eszközt?

Telepítés után a Mirax a fertőzött Android-eszközt egy SOCKS5 proxy hálózat csomópontjává alakítja, bűnözői internetes forgalmat irányítva az áldozat telefonján keresztül. Emellett személyes adatokat is lop a fertőzött eszközökről.

Miért akarnak a bűnözők olyan proxy hálózatokat építeni, mint amilyet a Mirax hoz létre?

A bűnözők proxy hálózatokat használnak, hogy névtelenek maradjanak, mivel a tevékenységük több ezer feltört okostelefonon keresztül való irányítása szinte nyomozhatatlanná teszi valódi tartózkodási helyüket. Ezekhez a hálózatokhoz hozzáférést is bérbe adhatnak, más bűnözőknek otthoni IP-cím-készletet biztosítva, amelyek legitimnek tűnnek a biztonsági rendszerek számára.

Ki van veszélynek kitéve a Mirax Android RAT-tól?

Mindenki, aki Android-eszközt használ, és olyan mobilhirdetésre kattintott, amely a Google Play Áruházon kívülről való alkalmazástelepítésre ösztönözte, potenciálisan veszélynek van kitéve. A kártevő kifejezetten azokat a felhasználókat célozza meg, akik harmadik feles forrásokból sideloadolnak alkalmazásokat.