Datasikkerhet

Mirax Android RAT: Telefonen din kan være en proxy

15. april 20265 min lesing

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: Telefonen din kan være en proxy

En ny Android-skadevare bruker telefonen din som proxy

Cybersikkerhetsforskere har avdekket en sofistikert ny trussel kalt Mirax Android RAT, en ekstern tilgangstrojaner som stille og rolig har nådd over 220 000 brukere gjennom annonser på Metas plattformer, inkludert Facebook og Instagram. Det som gjør Mirax særlig bemerkelsesverdig er ikke bare omfanget, men hva den gjør etter at den er installert: den gjør infiserte Android-enheter om til noder i et SOCKS5-proxynetterk, og gjør i praksis vanlige smarttelefoner til verktøy som videreformidler kriminell internetttrafikk.

Hvis du noen gang har klikket på en mobilannonse og blitt bedt om å installere en app utenfor den offisielle Google Play-butikken, er denne trusselen relevant for deg.

Hva er et SOCKS5-proxy-botnet, og hvorfor bygger kriminelle slike?

For å forstå hvorfor Mirax er farlig, er det nyttig å forstå hva SOCKS5-proxyer er og hvorfor de er verdifulle for nettkriminelle.

En SOCKS5-proxy er en type internettrelé som ruter nettverkstrafikk gjennom en mellomenhet. Det finnes legitime bruksområder: bedrifter bruker proxyer til nettverksadministrasjon, og personvernbevisste brukere ruter av og til trafikk gjennom betrodde servere for å skjule IP-adressene sine. SOCKS5 er fleksibelt og raskt, noe som gjør det attraktivt for både legitime og ondsinnede formål.

Kriminelle setter imidlertid pris på proxynetteverk av én spesifikk grunn: anonymitet. Når angripere ruter aktiviteten sin gjennom tusenvis av kompromitterte smarttelefoner, blir det nesten umulig å spore deres virkelige plassering og identitet. Hver infisert enhet fungerer som et trinn på veien. Etterforskere som følger sporet etter et nettangrep, kan ende opp med å peke på en uskyldig persons telefon i et annet land, i stedet for den faktiske angriperen.

Dette er også grunnen til at botnet-baserte proxynetterk er kommersielt verdifulle i kriminelle markeder. Operatørene kan leie ut tilgang til disse nettverkene og gi andre kriminelle aktører en distribuert og stadig fornyet pool av bolig-IP-adresser som fremstår som langt mer legitime enn datasentertjenere, som vanligvis flagges av sikkerhetssystemer.

Mirax RAT ser ut til å være utformet for å bygge nettopp denne typen infrastruktur, samtidig som den stjeler personlige data fra infiserte enheter.

Hvordan Mirax spres gjennom Meta-annonsering

Spredningsmekanismen for Mirax er verdt å undersøke nøye, fordi den utnytter noe de fleste brukere har blitt komfortable med: annonser i sosiale medier.

Forskere fant at Mirax nådde sine over 220 000 ofre gjennom ondsinnede annonser som kjørte på Metas plattformer. Disse annonsene ledet sannsynligvis brukere til å laste ned applikasjoner utenfor offisielle appbutikker, en teknikk kjent som sidelasting. Androids åpne arkitektur lar brukere installere apper fra tredjepartskilder, en funksjon som skadevaredistributører konsekvent utnytter.

Bruken av betalt annonsering for å distribuere skadevare gjenspeiler et bredere skifte i måten nettkriminelle opererer på. I stedet for utelukkende å basere seg på phishing-e-poster eller kompromitterte nettsteder, investerer trusselaktører nå i legitim annonseinfrastruktur for å nå store målgrupper raskt og overbevisende. En godt utformet annonse kan virke troverdig, særlig når den vises ved siden av innhold fra venner og familie.

Meta har systemer på plass for å oppdage og fjerne ondsinnede annonser, men omfanget av annonseplattformen betyr at noen kampanjer uunngåelig slipper igjennom før de oppdages.

Hva dette betyr for deg

Hvis du bruker en Android-enhet og jevnlig samhandler med annonser i sosiale medier, er Mirax-kampanjen en direkte påminnelse om flere praktiske risikoer.

For det første kan enheten din bli kompromittert uten at du vet om det, og brukes til å fasilitere kriminell aktivitet. Å være del av et botnet gir ikke nødvendigvis åpenbare symptomer. Telefonen din kan bli litt varmere eller tømme batteriet raskere, men mange brukere vil ikke legge merke til dette, eller vil tilskrive tegnene til noe annet.

For det andre er målene som kriminelle proxynetterk tjener – spesifikt å maskere trafikk og skjule identitet på nett – de samme målene som forbrukere legitimt forfølger gjennom VPN-er og personvernverktøy. Den avgjørende forskjellen er samtykke og sikkerhet. En legitim VPN ruter din egen trafikk gjennom en betrodd, kryptert server du selv har valgt. Et botnet ruter andres kriminelle trafikk gjennom enheten din uten ditt viten, og utsetter deg for potensiell juridisk granskning samtidig som det forbruker båndbredde og data.

For det tredje betyr det ikke at applikasjonene er trygge selv om du støter på annonser for dem på sosiale medieplattformer. Kilden til en annonse garanterer ikke legitimiteten til det som annonseres.

Konkrete tiltak for å beskytte Android-enheten din

Å beskytte seg mot trusler som Mirax krever ikke teknisk ekspertise, men det krever konsekvente vaner.

Installer kun apper fra Google Play Store. Unngå sidelasting av applikasjoner som fremmes via annonser, lenker i meldinger eller tredjepartsnettsteder, uansett hvor legitime de ser ut.
Gjennomgå apptillatelser nøye. En lommelykteapp trenger ikke tilgang til kontaktene dine eller muligheten til å kjøre bakgrunnsnettverkstjenester. Overdrevne tillatelser er et advarselstegn.
Hold operativsystemet og appene oppdatert. Sikkerhetsoppdateringer lukker sårbarheter som skadevare utnytter.
Bruk anerkjent mobilsikkerhetsprogramvare. Flere veldokumenterte sikkerhetsapplikasjoner kan oppdage kjente skadefamilier og flagge mistenkelig atferd.
Vær skeptisk til mobilannonser som fremmer nedlasting av apper. Hvis en annonse presser deg mot en installasjon, verifiser appen gjennom offisielle kanaler før du fortsetter.
Overvåk dataforbruket ditt. Uforklarlige topper i bakgrunnsdataforbruk kan indikere at enheten din brukes til formål du ikke har godkjent.

Mirax Android RAT er et tydelig eksempel på hvordan kriminelle operasjoner har modnet for å utnytte hverdagslige digitale vaner i stor skala. Å forstå hvordan disse angrepene fungerer er det første steget mot å ta valg som holder enheten din, dataene dine og internettforbindelsen din genuint i dine egne hender.

// FAQ

Hva er Mirax Android RAT?

Mirax er en ekstern tilgangstrojaner rettet mot Android-enheter som gjør infiserte smarttelefoner om til noder i et SOCKS5-proxynetterk. Den har nådd over 220 000 brukere gjennom ondsinnede annonser på Metas plattformer, inkludert Facebook og Instagram.

Hvordan spres Mirax til ofre?

Mirax spres gjennom ondsinnede annonser på Metas plattformer som leder brukere til å laste ned apper utenfor den offisielle Google Play-butikken, en teknikk kjent som sidelasting. Androids åpne arkitektur tillater denne typen tredjeparts appinstallasjon, som skadevaredistributører utnytter.

Hva gjør Mirax når den infiserer en enhet?

Når den er installert, gjør Mirax den infiserte Android-enheten om til en node i et SOCKS5-proxynetterk og ruter kriminell internetttrafikk gjennom offerets telefon. Den stjeler også personlige data fra infiserte enheter.

Hvorfor ønsker kriminelle å bygge proxynetterk som det Mirax skaper?

Kriminelle bruker proxynetterk for å forbli anonyme, ettersom det å rute aktivitet gjennom tusenvis av kompromitterte smarttelefoner gjør deres virkelige plassering nesten umulig å spore. De kan også leie ut tilgang til disse nettverkene og gi andre kriminelle aktører en pool av bolig-IP-adresser som fremstår som legitime for sikkerhetssystemer.

Hvem er i faresonen for Mirax Android RAT?

Alle som bruker en Android-enhet og har klikket på en mobilannonse som ba dem installere en app utenfor den offisielle Google Play-butikken, er potensielt i faresonen. Skadevaren retter seg spesifikt mot brukere som sidelaster applikasjoner fra tredjepartskilder.