Cyberbeveiliging

Mirax Android RAT: Uw telefoon kan een proxy zijn

15 april 20265 min leestijd

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: Uw telefoon kan een proxy zijn

Een nieuwe Android-malware gebruikt uw telefoon als proxy

Cybersecurityonderzoekers hebben een geavanceerde nieuwe bedreiging ontdekt genaamd de Mirax Android RAT, een Remote Access Trojan die stilletjes meer dan 220.000 gebruikers heeft bereikt via advertenties op Meta-platforms waaronder Facebook en Instagram. Wat Mirax bijzonder opvallend maakt, is niet alleen de omvang, maar wat het doet zodra het is geïnstalleerd: het converteert geïnfecteerde Android-apparaten naar knooppunten in een SOCKS5-proxynetwerk, waardoor gewone smartphones effectief worden omgetoverd tot hulpmiddelen die crimineel internetverkeer routeren.

Als u ooit op een mobiele advertentie hebt geklikt en werd gevraagd een app te installeren buiten de officiële Google Play Store, is deze bedreiging relevant voor u.

Wat is een SOCKS5-proxybotnet en waarom bouwen criminelen dit soort netwerken?

Om te begrijpen waarom Mirax gevaarlijk is, helpt het te begrijpen wat SOCKS5-proxy's zijn en waarom ze waardevol zijn voor cybercriminelen.

Een SOCKS5-proxy is een type internetrelay dat netwerkverkeer via een tussenschakelend apparaat routeert. Er zijn legitieme toepassingen: bedrijven gebruiken proxy's voor netwerkbeheer, en privacybewuste gebruikers routeren soms verkeer via vertrouwde servers om hun IP-adressen te maskeren. SOCKS5 is flexibel en snel, wat het aantrekkelijk maakt voor zowel legitieme als kwaadaardige doeleinden.

Criminelen hechten echter om een specifieke reden grote waarde aan proxynetwerken: anonimiteit. Wanneer aanvallers hun activiteiten via duizenden gecompromitteerde smartphones routeren, worden hun werkelijke locatie en identiteit vrijwel onmogelijk te traceren. Elk geïnfecteerd apparaat fungeert als een tussenstap. Onderzoekers die het spoor van een cyberaanval volgen, kunnen uiteindelijk uitkomen bij de telefoon van een onschuldig persoon in een ander land, in plaats van bij de werkelijke aanvaller.

Dit is ook de reden waarom op botnets gebaseerde proxynetwerken commercieel waardevol zijn op criminele markten. Exploitanten kunnen toegang tot deze netwerken verhuren en andere kwaadwillenden voorzien van een gedistribueerde, voortdurend ververste pool van residentiële IP-adressen die er veel legitiemer uitzien dan datacenterservers die doorgaans worden gemarkeerd door beveiligingssystemen.

De Mirax RAT lijkt ontworpen om precies dit soort infrastructuur op te bouwen, terwijl het tegelijkertijd persoonlijke gegevens van geïnfecteerde apparaten steelt.

Hoe Mirax zich verspreidt via Meta-advertenties

Het verspreidingsmechanisme van Mirax verdient nauwkeurige bestudering, omdat het iets uitbuit waarmee de meeste gebruikers vertrouwd zijn geraakt: advertenties op sociale media.

Onderzoekers ontdekten dat Mirax zijn meer dan 220.000 slachtoffers bereikte via kwaadaardige advertenties op Meta-platforms. Deze advertenties leidden gebruikers waarschijnlijk naar het downloaden van applicaties buiten de officiële appstores, een techniek die bekendstaat als sideloading. De open architectuur van Android stelt gebruikers in staat apps van externe bronnen te installeren, een functie die malwaredistributeurs consequent uitbuiten.

Het gebruik van betaalde advertenties voor de verspreiding van malware weerspiegelt een bredere verschuiving in de manier waarop cybercriminelen opereren. In plaats van uitsluitend te vertrouwen op phishing-e-mails of gecompromitteerde websites, investeren kwaadwillende actoren nu in legitieme advertentie-infrastructuur om snel en overtuigend een groot publiek te bereiken. Een goed vormgegeven advertentie kan betrouwbaar overkomen, zeker wanneer die verschijnt naast inhoud van vrienden en familie.

Meta beschikt over systemen om kwaadaardige advertenties te detecteren en te verwijderen, maar de schaal van het advertentieplatform betekent dat sommige campagnes onvermijdelijk door de mazen van het net glippen voordat ze worden onderschept.

Wat dit voor u betekent

Als u een Android-apparaat gebruikt en regelmatig omgaat met advertenties op sociale media, is de Mirax-campagne een directe herinnering aan verschillende praktische risico's.

Ten eerste kan uw apparaat zonder uw medeweten worden gecompromitteerd en worden gebruikt om criminele activiteiten te faciliteren. Onderdeel zijn van een botnet veroorzaakt niet noodzakelijk merkbare symptomen. Uw telefoon kan iets warmer worden of de batterij sneller leegloopt, maar veel gebruikers zouden dit niet opmerken of zouden die tekenen aan iets anders toeschrijven.

Ten tweede zijn de doeleinden die criminele proxynetwerken dienen, met name het maskeren van verkeer en het online verbergen van identiteit, dezelfde doeleinden die consumenten legitiem nastreven via VPN's en privacytools. Het cruciale verschil is toestemming en veiligheid. Een legitieme VPN routeert uw eigen verkeer via een vertrouwde, versleutelde server die u zelf heeft gekozen. Een botnet routeert het criminele verkeer van iemand anders via uw apparaat zonder uw medeweten, waardoor u blootstaat aan mogelijke juridische controle en uw bandbreedte en data worden verbruikt.

Ten derde maakt het tegenkomen van advertenties voor applicaties op sociale mediaplatforms die applicaties niet veilig. De bron van een advertentie garandeert niet de legitimiteit van wat er wordt geadverteerd.

Praktische stappen om uw Android-apparaat te beschermen

Uzelf beschermen tegen bedreigingen zoals Mirax vereist geen technische expertise, maar wel consistente gewoonten.

Installeer alleen apps uit de Google Play Store. Vermijd het sideloaden van applicaties die worden aangeboden via advertenties, links in berichten of websites van derden, ongeacht hoe legitiem ze eruitzien.
Controleer app-machtigingen zorgvuldig. Een zaklamp-app heeft geen toegang nodig tot uw contacten of de mogelijkheid om achtergrondnetwerkdiensten uit te voeren. Buitensporige machtigingen zijn een waarschuwingssignaal.
Houd uw besturingssysteem en apps up-to-date. Beveiligingspatches dichten kwetsbaarheden die malware uitbuit.
Gebruik betrouwbare mobiele beveiligingssoftware. Verschillende gerenommeerde beveiligingsapplicaties kunnen bekende malwarefamilies detecteren en verdacht gedrag markeren.
Wees sceptisch over mobiele advertenties die app-downloads promoten. Als een advertentie u aanspoort tot een installatie, verifieer de app dan via officiële kanalen voordat u verdergaat.
Controleer uw datagebruik. Onverklaarbare pieken in achtergrondgegevensverbruik kunnen erop wijzen dat uw apparaat wordt gebruikt voor doeleinden die u niet heeft geautoriseerd.

De Mirax Android RAT is een duidelijk voorbeeld van hoe criminele operaties volwassen zijn geworden om alledaagse digitale gewoonten op grote schaal uit te buiten. Begrijpen hoe deze aanvallen werken is de eerste stap naar het maken van keuzes die uw apparaat, uw gegevens en uw internetverbinding werkelijk van uzelf houden.

// FAQ

Wat is de Mirax Android RAT?

Mirax is een Remote Access Trojan gericht op Android-apparaten die geïnfecteerde smartphones omzet in knooppunten in een SOCKS5-proxynetwerk. Het heeft meer dan 220.000 gebruikers bereikt via kwaadaardige advertenties op Meta-platforms waaronder Facebook en Instagram.

Hoe verspreidt Mirax zich naar slachtoffers?

Mirax verspreidt zich via kwaadaardige advertenties op Meta-platforms die gebruikers aanzetten tot het downloaden van apps buiten de officiële Google Play Store, een techniek die bekendstaat als sideloading. De open architectuur van Android maakt dit type installatie van apps van derden mogelijk, wat malwaredistributeurs uitbuiten.

Wat doet Mirax zodra het een apparaat infecteert?

Eenmaal geïnstalleerd, converteert Mirax het geïnfecteerde Android-apparaat naar een knooppunt in een SOCKS5-proxynetwerk, waarbij crimineel internetverkeer via de telefoon van het slachtoffer wordt gerouteerd. Het steelt ook persoonlijke gegevens van geïnfecteerde apparaten.

Waarom willen criminelen proxynetwerken bouwen zoals het netwerk dat Mirax creëert?

Criminelen gebruiken proxynetwerken om anoniem te blijven, omdat het routeren van activiteiten via duizenden gecompromitteerde smartphones hun werkelijke locatie vrijwel onmogelijk te traceren maakt. Ze kunnen ook toegang tot deze netwerken verhuren en andere kwaadwillenden voorzien van een pool van residentiële IP-adressen die legitiem lijken voor beveiligingssystemen.

Wie loopt risico door de Mirax Android RAT?

Iedereen die een Android-apparaat gebruikt en heeft geklikt op een mobiele advertentie die hen aanspoorde een app te installeren buiten de officiële Google Play Store, loopt mogelijk risico. De malware richt zich specifiek op gebruikers die applicaties sideloaden van externe bronnen.