Кібербезпека

Mirax Android RAT: Ваш телефон може стати проксі

15 квітня 2026 р.5 хв читання

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: Ваш телефон може стати проксі

Нова шкідлива програма для Android використовує ваш телефон як проксі

Дослідники з кібербезпеки виявили складну нову загрозу під назвою Mirax Android RAT — троян віддаленого доступу, який непомітно досяг понад 220 000 користувачів через рекламу на платформах Meta, зокрема Facebook та Instagram. Mirax вирізняється не лише своїм масштабом, а й тим, що робить після встановлення: він перетворює заражені пристрої Android на вузли мережі проксі SOCKS5, фактично перетворюючи звичайні смартфони на інструменти для маршрутизації злочинного інтернет-трафіку.

Якщо ви коли-небудь натискали на мобільну рекламу і вам пропонували встановити додаток поза офіційним магазином Google Play, ця загроза стосується безпосередньо вас.

Що таке ботнет на основі проксі SOCKS5 і навіщо злочинці його створюють?

Щоб зрозуміти, чим небезпечний Mirax, варто розібратися, що таке проксі SOCKS5 і чому вони цінні для кіберзлочинців.

Проксі SOCKS5 — це різновид інтернет-ретранслятора, який маршрутизує мережевий трафік через проміжний пристрій. Легітимне застосування існує: компанії використовують проксі для керування мережею, а користувачі, яким важлива конфіденційність, іноді спрямовують трафік через довірені сервери, щоб приховати свою IP-адресу. SOCKS5 є гнучким і швидким, що робить його привабливим як для законних, так і для зловмисних цілей.

Однак злочинці цінують проксі-мережі з однієї конкретної причини: анонімності. Коли зловмисники спрямовують свою діяльність через тисячі зламаних смартфонів, їхнє реальне місцезнаходження та особу стає майже неможливо відстежити. Кожен заражений пристрій слугує проміжною ланкою. Слідчі, які відстежують сліди кібератаки, можуть вийти на телефон невинної людини в іншій країні, а не на справжнього зловмисника.

Саме тому проксі-мережі на основі ботнетів мають комерційну цінність на злочинних ринках. Оператори можуть здавати в оренду доступ до таких мереж, надаючи іншим зловмисникам розподілений і постійно оновлюваний пул резидентних IP-адрес, які виглядають значно більш легітимно, ніж сервери центрів обробки даних, яких зазвичай блокують системи безпеки.

Схоже, що RAT Mirax розроблено саме для побудови такої інфраструктури, одночасно викрадаючи персональні дані з заражених пристроїв.

Як Mirax поширюється через рекламу Meta

Механізм розповсюдження Mirax заслуговує на ретельне вивчення, оскільки він експлуатує те, до чого більшість користувачів уже звикли: рекламу в соціальних мережах.

Дослідники з'ясували, що Mirax досяг понад 220 000 жертв за допомогою шкідливої реклами на платформах Meta. Найімовірніше, ця реклама спрямовувала користувачів на завантаження додатків поза офіційними магазинами застосунків — техніка, відома як сайдлоудинг. Відкрита архітектура Android дозволяє встановлювати додатки зі сторонніх джерел, і саме цю можливість постійно експлуатують розповсюджувачі шкідливих програм.

Використання платної реклами для розповсюдження шкідливих програм відображає ширший зсув у методах роботи кіберзлочинців. Замість того щоб покладатися виключно на фішингові листи чи зламані сайти, зловмисники тепер інвестують у легітимну рекламну інфраструктуру, щоб швидко й переконливо охопити широку аудиторію. Добре оформлена реклама може виглядати надійно, особливо коли вона відображається поряд із публікаціями друзів і родичів.

Meta має системи для виявлення та видалення шкідливої реклами, однак масштаби її рекламної платформи означають, що деякі кампанії неминуче проходять крізь фільтри до того, як їх виявлять.

Що це означає для вас

Якщо ви користуєтеся пристроєм Android і регулярно взаємодієте з рекламою в соціальних мережах, кампанія Mirax є безпосереднім нагадуванням про кілька практичних ризиків.

По-перше, ваш пристрій може бути скомпрометовано без вашого відома і використаний для сприяння злочинній діяльності. Перебування у складі ботнету не обов'язково супроводжується очевидними симптомами. Телефон може трохи нагріватися або швидше розряджатися, але більшість користувачів цього не помітять або припишуть ці ознаки чомусь іншому.

По-друге, цілі, яким слугують злочинні проксі-мережі, а саме маскування трафіку та приховування особистості в мережі, збігаються з тими, які законно переслідують споживачі за допомогою VPN та інструментів конфіденційності. Принципова різниця полягає у згоді та безпеці. Легітимний VPN спрямовує ваш власний трафік через довірений зашифрований сервер, який ви самі обрали. Ботнет без вашого відома спрямовує чийсь злочинний трафік через ваш пристрій, наражаючи вас на потенційну юридичну відповідальність і витрачаючи ваш трафік і пропускну здатність.

По-третє, те, що реклама додатків розміщена на платформах соціальних мереж, ще не робить ці додатки безпечними. Джерело реклами не гарантує легітимності того, що рекламується.

Практичні кроки для захисту вашого пристрою Android

Захист від таких загроз, як Mirax, не потребує технічних знань, але вимагає послідовних звичок.

Встановлюйте додатки лише з Google Play Store. Уникайте сайдлоудингу додатків, які пропонуються через рекламу, посилання в повідомленнях або сторонні сайти, незалежно від того, наскільки легітимними вони виглядають.
Уважно перевіряйте дозволи додатків. Додатку-ліхтарику не потрібен доступ до ваших контактів або можливість запускати фонові мережеві служби. Надмірні дозволи — це тривожний сигнал.
Оновлюйте операційну систему та додатки. Патчі безпеки закривають вразливості, які експлуатують шкідливі програми.
Використовуйте надійне програмне забезпечення для мобільної безпеки. Кілька авторитетних захисних додатків можуть виявляти відомі сімейства шкідливих програм і сигналізувати про підозрілу поведінку.
Скептично ставтеся до мобільної реклами, що заохочує завантаження додатків. Якщо реклама спонукає вас до встановлення, перевірте додаток через офіційні канали, перш ніж продовжити.
Стежте за використанням даних. Незрозумілі стрибки у споживанні фонових даних можуть свідчити про те, що ваш пристрій використовується в цілях, які ви не санкціонували.

RAT Mirax для Android є яскравим прикладом того, як злочинні операції еволюціонували, щоб у великих масштабах експлуатувати повсякденні цифрові звички. Розуміння того, як працюють такі атаки, — це перший крок до того, щоб ваш пристрій, ваші дані та ваше інтернет-з'єднання справді залишалися вашими.

// FAQ

Що таке Mirax Android RAT?

Mirax — це троян віддаленого доступу, що атакує пристрої Android і перетворює заражені смартфони на вузли мережі проксі SOCKS5. Він досяг понад 220 000 користувачів за допомогою шкідливої реклами на платформах Meta, зокрема Facebook та Instagram.

Як Mirax поширюється серед жертв?

Mirax поширюється через шкідливу рекламу на платформах Meta, яка спрямовує користувачів на завантаження додатків поза офіційним магазином Google Play — техніка, відома як сайдлоудинг. Відкрита архітектура Android дозволяє такий вид встановлення сторонніх додатків, яким і користуються розповсюджувачі шкідливих програм.

Що робить Mirax після зараження пристрою?

Після встановлення Mirax перетворює заражений пристрій Android на вузол мережі проксі SOCKS5, маршрутизуючи злочинний інтернет-трафік через телефон жертви. Він також викрадає персональні дані із заражених пристроїв.

Навіщо злочинцям створювати проксі-мережі на кшталт тієї, що будує Mirax?

Злочинці використовують проксі-мережі для збереження анонімності, оскільки маршрутизація діяльності через тисячі зламаних смартфонів робить їхнє реальне місцезнаходження майже неможливим для відстеження. Вони також можуть здавати в оренду доступ до цих мереж, надаючи іншим зловмисникам пул резидентних IP-адрес, які виглядають легітимно для систем безпеки.

Хто перебуває під загрозою з боку Mirax Android RAT?

Під загрозою потенційно перебуває кожен, хто користується пристроєм Android і натискав на мобільну рекламу, яка спонукала встановити додаток поза офіційним магазином Google Play. Шкідлива програма спеціально орієнтується на користувачів, які встановлюють додатки зі сторонніх джерел.