Cibersegurança

Mirax Android RAT: Seu Telefone Pode Ser um Proxy

15 de abril de 20265 min de leitura

Por Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: Seu Telefone Pode Ser um Proxy

Um Novo Malware para Android Está Usando Seu Telefone como Proxy

Pesquisadores de segurança cibernética descobriram uma nova ameaça sofisticada chamada Mirax Android RAT, um Trojan de Acesso Remoto que silenciosamente alcançou mais de 220.000 usuários por meio de anúncios veiculados em plataformas da Meta, incluindo Facebook e Instagram. O que torna o Mirax particularmente notável não é apenas sua escala, mas o que ele faz após ser instalado: converte dispositivos Android infectados em nós de uma rede proxy SOCKS5, transformando efetivamente smartphones comuns em ferramentas que roteiam tráfego criminoso na internet.

Se você já clicou em um anúncio em um dispositivo móvel e foi solicitado a instalar um aplicativo fora da Google Play Store oficial, essa ameaça é relevante para você.

O Que É uma Botnet de Proxy SOCKS5 e Por Que os Criminosos as Constroem?

Para entender por que o Mirax é perigoso, é útil compreender o que são proxies SOCKS5 e por que eles são valiosos para cibercriminosos.

Um proxy SOCKS5 é um tipo de retransmissor de internet que roteia o tráfego de rede por meio de um dispositivo intermediário. Existem usos legítimos: empresas utilizam proxies para gerenciamento de rede, e usuários preocupados com privacidade às vezes roteiam tráfego por servidores confiáveis para mascarar seus endereços IP. O SOCKS5 é flexível e rápido, tornando-o atraente tanto para fins legítimos quanto maliciosos.

Os criminosos, no entanto, valorizam as redes proxy por um motivo específico: anonimato. Quando os atacantes roteiam suas atividades por meio de milhares de smartphones comprometidos, sua localização real e identidade tornam-se quase impossíveis de rastrear. Cada dispositivo infectado age como um degrau. Investigadores que seguem o rastro de um ciberataque podem acabar apontando para o telefone de uma pessoa inocente em outro país, em vez de para o atacante real.

Esse também é o motivo pelo qual redes proxy baseadas em botnets têm valor comercial em mercados criminosos. Os operadores podem alugar o acesso a essas redes, fornecendo a outros agentes mal-intencionados um conjunto distribuído e constantemente renovado de endereços IP residenciais que parecem muito mais legítimos do que servidores de data centers, geralmente sinalizados pelos sistemas de segurança.

O Mirax RAT parece projetado para construir exatamente esse tipo de infraestrutura, enquanto simultaneamente rouba dados pessoais dos dispositivos infectados.

Como o Mirax Se Espalha por Meio da Publicidade da Meta

O mecanismo de distribuição do Mirax merece ser examinado cuidadosamente, pois ele explora algo com o qual a maioria dos usuários já se sentiu confortável: anúncios em redes sociais.

Pesquisadores descobriram que o Mirax alcançou suas mais de 220.000 vítimas por meio de anúncios maliciosos veiculados em plataformas da Meta. Esses anúncios provavelmente direcionavam os usuários a baixar aplicativos fora das lojas de aplicativos oficiais, uma técnica conhecida como sideloading. A arquitetura aberta do Android permite que os usuários instalem aplicativos de fontes de terceiros, o que é um recurso que os distribuidores de malware exploram de forma consistente.

O uso de publicidade paga para distribuir malware reflete uma mudança mais ampla na forma como os cibercriminosos operam. Em vez de depender exclusivamente de e-mails de phishing ou sites comprometidos, os agentes de ameaças agora investem em infraestrutura de anúncios legítima para alcançar grandes públicos de forma rápida e convincente. Um anúncio bem elaborado pode parecer confiável, especialmente quando aparece ao lado de conteúdo de amigos e familiares.

A Meta possui sistemas para detectar e remover anúncios maliciosos, mas a escala de sua plataforma de publicidade significa que algumas campanhas inevitavelmente escapam antes de serem identificadas.

O Que Isso Significa Para Você

Se você usa um dispositivo Android e interage regularmente com anúncios em redes sociais, a campanha do Mirax é um lembrete direto de vários riscos práticos.

Primeiro, seu dispositivo pode ser comprometido sem o seu conhecimento e usado para facilitar atividades criminosas. Fazer parte de uma botnet não causa necessariamente sintomas óbvios. Seu telefone pode ficar um pouco mais quente ou drenar a bateria mais rapidamente, mas muitos usuários não perceberiam isso ou atribuiriam esses sinais a outra coisa.

Segundo, os objetivos que as redes proxy criminosas servem — especificamente mascarar tráfego e ocultar identidade online — são os mesmos objetivos que consumidores buscam legitimamente por meio de VPNs e ferramentas de privacidade. A diferença crítica é o consentimento e a segurança. Uma VPN legítima roteia seu próprio tráfego por um servidor criptografado e confiável que você escolheu. Uma botnet roteia o tráfego criminoso de outra pessoa pelo seu dispositivo sem o seu conhecimento, expondo você a possível escrutínio legal e consumindo sua largura de banda e dados.

Terceiro, encontrar anúncios de aplicativos em plataformas de redes sociais não torna esses aplicativos seguros. A origem de um anúncio não garante a legitimidade do que está sendo anunciado.

Medidas Práticas para Proteger Seu Dispositivo Android

Proteger-se de ameaças como o Mirax não exige conhecimento técnico, mas requer hábitos consistentes.

Instale aplicativos apenas da Google Play Store. Evite fazer sideloading de aplicativos promovidos por anúncios, links em mensagens ou sites de terceiros, independentemente de quão legítimos pareçam.
Revise cuidadosamente as permissões dos aplicativos. Um aplicativo de lanterna não precisa de acesso aos seus contatos ou da capacidade de executar serviços de rede em segundo plano. Permissões excessivas são um sinal de alerta.
Mantenha seu sistema operacional e aplicativos atualizados. As atualizações de segurança fecham vulnerabilidades que o malware explora.
Use software de segurança móvel confiável. Vários aplicativos de segurança bem conceituados podem detectar famílias de malware conhecidas e sinalizar comportamentos suspeitos.
Seja cético em relação a anúncios móveis que promovem downloads de aplicativos. Se um anúncio está direcionando você para uma instalação, verifique o aplicativo por canais oficiais antes de prosseguir.
Monitore seu uso de dados. Picos inexplicáveis no consumo de dados em segundo plano podem indicar que seu dispositivo está sendo usado para fins que você não autorizou.

O Mirax Android RAT é um exemplo claro de como as operações criminosas amadureceram para explorar hábitos digitais cotidianos em escala. Entender como esses ataques funcionam é o primeiro passo para fazer escolhas que mantenham seu dispositivo, seus dados e sua conexão com a internet verdadeiramente seus.

// FAQ

O que é o Mirax Android RAT?

O Mirax é um Trojan de Acesso Remoto direcionado a dispositivos Android que converte smartphones infectados em nós de uma rede proxy SOCKS5. Ele alcançou mais de 220.000 usuários por meio de anúncios maliciosos em plataformas da Meta, incluindo Facebook e Instagram.

Como o Mirax se espalha para as vítimas?

O Mirax se espalha por meio de anúncios maliciosos veiculados em plataformas da Meta que direcionam os usuários a baixar aplicativos fora da Google Play Store oficial, uma técnica conhecida como sideloading. A arquitetura aberta do Android permite esse tipo de instalação de aplicativos de terceiros, que os distribuidores de malware exploram.

O que o Mirax faz após infectar um dispositivo?

Uma vez instalado, o Mirax converte o dispositivo Android infectado em um nó de uma rede proxy SOCKS5, roteando tráfego criminoso na internet pelo telefone da vítima. Ele também rouba dados pessoais dos dispositivos infectados.

Por que os criminosos querem construir redes proxy como a que o Mirax cria?

Os criminosos usam redes proxy para permanecer anônimos, pois rotear atividades por meio de milhares de smartphones comprometidos torna sua localização real quase impossível de rastrear. Eles também podem alugar o acesso a essas redes, fornecendo a outros agentes mal-intencionados um conjunto de endereços IP residenciais que parecem legítimos para os sistemas de segurança.

Quem está em risco com o Mirax Android RAT?

Qualquer pessoa que use um dispositivo Android e tenha clicado em um anúncio móvel que a solicitou a instalar um aplicativo fora da Google Play Store oficial está potencialmente em risco. O malware tem como alvo específico usuários que fazem sideloading de aplicativos de fontes de terceiros.