Кибербезопасность

Mirax Android RAT: Ваш телефон может стать прокси-сервером

15 апреля 2026 г.5 мин чтения

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: Ваш телефон может стать прокси-сервером

Новое Android-вредоносное ПО использует ваш телефон в качестве прокси-сервера

Исследователи в области кибербезопасности обнаружили новую сложную угрозу под названием Mirax Android RAT — троян удалённого доступа, который незаметно охватил более 220 000 пользователей через рекламные объявления на платформах Meta, включая Facebook и Instagram. Mirax примечателен не только своим масштабом, но и тем, что происходит после его установки: он превращает заражённые Android-устройства в узлы сети SOCKS5-прокси, фактически превращая обычные смартфоны в инструменты для маршрутизации преступного интернет-трафика.

Если вы когда-либо нажимали на мобильную рекламу и получали предложение установить приложение за пределами официального магазина Google Play, эта угроза касается непосредственно вас.

Что такое SOCKS5-прокси-ботнет и зачем киберпреступники его создают?

Чтобы понять, чем опасен Mirax, необходимо разобраться, что такое SOCKS5-прокси и почему они представляют ценность для киберпреступников.

SOCKS5-прокси — это тип интернет-ретранслятора, который направляет сетевой трафик через промежуточное устройство. Существуют и легитимные варианты применения: компании используют прокси для управления сетью, а пользователи, озабоченные вопросами конфиденциальности, иногда перенаправляют трафик через доверенные серверы для сокрытия своих IP-адресов. SOCKS5 отличается гибкостью и быстродействием, что делает его привлекательным как для законных, так и для вредоносных целей.

Однако преступники ценят прокси-сети по одной конкретной причине: анонимности. Когда злоумышленники маршрутизируют свою активность через тысячи скомпрометированных смартфонов, их реальное местоположение и личность становятся практически невозможно отследить. Каждое заражённое устройство служит промежуточным звеном. Следователи, идущие по следам кибератаки, в итоге могут выйти на телефон ни в чём не повинного человека в другой стране, а не на самого злоумышленника.

Именно поэтому прокси-сети на основе ботнетов пользуются коммерческой ценностью на преступных рынках. Операторы могут сдавать в аренду доступ к этим сетям, предоставляя другим злоумышленникам распределённый, постоянно обновляемый пул жилых IP-адресов, которые выглядят значительно более легитимно, чем серверы центров обработки данных, обычно помечаемые системами безопасности.

RAT Mirax, по всей видимости, создан именно для построения подобной инфраструктуры, одновременно похищая личные данные с заражённых устройств.

Как Mirax распространяется через рекламу Meta

Механизм распространения Mirax заслуживает пристального изучения, поскольку он эксплуатирует то, с чем большинство пользователей уже привыкли иметь дело: рекламу в социальных сетях.

Исследователи установили, что Mirax достиг своих 220 000 с лишним жертв через вредоносные рекламные объявления, размещённые на платформах Meta. Эти объявления, по всей видимости, направляли пользователей на загрузку приложений за пределами официальных магазинов приложений — метод, известный как сайдлоудинг. Открытая архитектура Android позволяет пользователям устанавливать приложения из сторонних источников, и эту возможность систематически эксплуатируют распространители вредоносного ПО.

Использование платной рекламы для распространения вредоносного ПО отражает более широкую трансформацию методов работы киберпреступников. Вместо того чтобы полагаться исключительно на фишинговые письма или скомпрометированные сайты, злоумышленники теперь инвестируют в легитимную рекламную инфраструктуру, чтобы быстро и убедительно охватить широкую аудиторию. Грамотно оформленное объявление может выглядеть заслуживающим доверия, особенно когда оно появляется рядом с контентом друзей и близких.

У Meta существуют системы обнаружения и удаления вредоносной рекламы, однако масштаб её рекламной платформы означает, что некоторые кампании неизбежно проходят незамеченными до момента их обнаружения.

Что это означает для вас

Если вы используете Android-устройство и регулярно взаимодействуете с рекламой в социальных сетях, кампания Mirax — прямое напоминание о нескольких реальных рисках.

Во-первых, ваше устройство может быть скомпрометировано без вашего ведома и использовано для содействия преступной деятельности. Участие в ботнете не обязательно сопровождается очевидными симптомами. Телефон может немного сильнее нагреваться или быстрее разряжаться, однако многие пользователи этого не замечают или списывают подобные признаки на другие причины.

Во-вторых, цели, которым служат преступные прокси-сети, а именно маскировка трафика и сокрытие личности в интернете, совпадают с теми, которые пользователи легитимно преследуют с помощью VPN и инструментов обеспечения конфиденциальности. Принципиальное различие заключается в согласии и безопасности. Легитимный VPN направляет ваш собственный трафик через доверенный зашифрованный сервер, который вы выбрали самостоятельно. Ботнет перенаправляет чужой преступный трафик через ваше устройство без вашего ведома, подвергая вас потенциальным юридическим рискам и расходуя ваш трафик и пропускную способность.

В-третьих, наличие рекламы приложений на платформах социальных сетей не делает эти приложения безопасными. Источник рекламы не гарантирует легитимности рекламируемого.

Практические шаги по защите вашего Android-устройства

Защита от таких угроз, как Mirax, не требует технических знаний, однако предполагает соблюдение последовательных привычек.

Устанавливайте приложения только из Google Play Store. Избегайте сайдлоудинга приложений по предложениям из рекламы, ссылок в сообщениях или сторонних сайтов, как бы легитимно они ни выглядели.
Внимательно проверяйте разрешения приложений. Приложению для фонарика не нужен доступ к вашим контактам или возможность запускать фоновые сетевые службы. Избыточные разрешения — это тревожный сигнал.
Своевременно обновляйте операционную систему и приложения. Патчи безопасности устраняют уязвимости, которые эксплуатирует вредоносное ПО.
Используйте надёжное программное обеспечение для мобильной безопасности. Ряд хорошо зарекомендовавших себя приложений безопасности способен обнаруживать известные семейства вредоносного ПО и сигнализировать о подозрительном поведении.
Относитесь скептически к мобильной рекламе, призывающей загрузить приложения. Если объявление подталкивает вас к установке, прежде чем продолжать, проверьте приложение через официальные каналы.
Следите за расходом мобильных данных. Необъяснимые всплески потребления фоновых данных могут свидетельствовать о том, что ваше устройство используется в целях, которых вы не санкционировали.

Android RAT Mirax — наглядный пример того, как преступные операции эволюционировали до уровня массовой эксплуатации повседневных цифровых привычек. Понимание механизмов подобных атак — первый шаг к принятию решений, которые позволят сохранить ваше устройство, ваши данные и ваше интернет-соединение действительно вашими.

// FAQ

Что такое Mirax Android RAT?

Mirax — это троян удалённого доступа, нацеленный на Android-устройства, который превращает заражённые смартфоны в узлы сети SOCKS5-прокси. Он охватил более 220 000 пользователей через вредоносные рекламные объявления на платформах Meta, включая Facebook и Instagram.

Как Mirax распространяется среди жертв?

Mirax распространяется через вредоносные рекламные объявления на платформах Meta, которые направляют пользователей на загрузку приложений за пределами официального магазина Google Play — метод, известный как сайдлоудинг. Открытая архитектура Android допускает установку приложений из сторонних источников, и именно это эксплуатируют распространители вредоносного ПО.

Что делает Mirax после заражения устройства?

После установки Mirax превращает заражённое Android-устройство в узел сети SOCKS5-прокси, маршрутизируя преступный интернет-трафик через телефон жертвы. Кроме того, он похищает личные данные с заражённых устройств.

Зачем преступникам создавать прокси-сети, подобные той, что строит Mirax?

Преступники используют прокси-сети для сохранения анонимности: маршрутизация активности через тысячи скомпрометированных смартфонов делает их реальное местоположение практически невозможно отследить. Кроме того, они могут сдавать доступ к этим сетям в аренду, предоставляя другим злоумышленникам пул жилых IP-адресов, которые выглядят легитимно для систем безопасности.

Кто подвержен риску заражения Android RAT Mirax?

Потенциально подвержен риску любой, кто использует Android-устройство и нажимал на мобильную рекламу, предлагавшую установить приложение за пределами официального магазина Google Play. Вредоносное ПО специально нацелено на пользователей, которые устанавливают приложения из сторонних источников посредством сайдлоудинга.