Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Mirax RAT

Mirax RAT

Por Mezo en Malware móvil, Herramientas de administración remota
Traducir a:

Mirax, un troyano de acceso remoto para Android recientemente identificado, está atacando activamente a regiones de habla hispana mediante campañas masivas en redes sociales. Los ciberdelincuentes han utilizado anuncios en plataformas como Facebook, Instagram, Messenger y Threads, alcanzando a más de 220 000 cuentas. Esta amplia exposición pone de manifiesto un esfuerzo calculado para explotar ecosistemas publicitarios de confianza con el fin de distribuir malware.

Capacidades avanzadas de control remoto

Mirax funciona como un troyano de acceso remoto (RAT) de alta capacidad, otorgando a los atacantes control total y en tiempo real sobre los dispositivos comprometidos. Su funcionalidad va más allá de las operaciones estándar de un RAT, permitiendo la vigilancia e interacción con los sistemas infectados a un nivel granular. Entre sus capacidades se incluyen el registro de pulsaciones de teclas, la exfiltración de fotos, la recopilación de datos de la pantalla de bloqueo, la ejecución de comandos, la navegación por la interfaz y la monitorización continua de la actividad del usuario.

Además, el malware puede recuperar y mostrar superposiciones HTML dinámicas desde su infraestructura de comando y control (C2), lo que facilita la obtención de credenciales a través de interfaces engañosas.

Convertir a las víctimas en infraestructura proxy

Una característica distintiva de Mirax es su capacidad para convertir los dispositivos infectados en nodos proxy residenciales. Al incorporar compatibilidad con el protocolo SOCKS5 junto con la multiplexación Yamux, el malware establece canales proxy persistentes que enrutan el tráfico del atacante a través de direcciones IP de usuarios legítimos. Esta funcionalidad permite a los atacantes eludir las restricciones de geolocalización, evadir los mecanismos de detección de fraude y llevar a cabo actividades maliciosas, como el robo de cuentas, con mayor anonimato y credibilidad.

Malware como servicio con acceso exclusivo

Mirax se comercializa como un servicio de malware (MaaS) bajo el nombre de «Mirax Bot». El acceso a la versión completa tiene un precio de 2500 dólares por una suscripción de tres meses. Asimismo, existe una versión reducida disponible por 1750 dólares al mes, que carece de funciones como la capacidad de proxy y la posibilidad de eludir Google Play Protect. A diferencia de las plataformas MaaS habituales, su distribución está estrictamente controlada y restringida a un grupo limitado de afiliados, principalmente personas de habla rusa con una reputación consolidada en foros clandestinos. Esta exclusividad sugiere un enfoque deliberado en la seguridad operativa y la eficacia sostenida de las campañas.

Ingeniería social mediante publicidad maliciosa

La cadena de infección se basa en gran medida en campañas publicitarias engañosas alojadas en plataformas Meta. Estos anuncios promocionan servicios de streaming fraudulentos que ofrecen acceso gratuito a deportes en directo y películas, incitando a los usuarios a descargar aplicaciones maliciosas. Se han identificado varios anuncios, con especial atención a los usuarios en España. Una sola campaña, lanzada el 6 de abril de 2026, alcanzó a casi 191.000 usuarios, lo que demuestra la magnitud y la eficacia de esta estrategia de distribución.

Técnicas sofisticadas de entrega y evasión

Mirax emplea un proceso de infección en varias etapas diseñado para evadir la detección y el análisis. Las aplicaciones de descarga se distribuyen a través de páginas web con estrictos controles de acceso, lo que garantiza que solo los usuarios de dispositivos móviles puedan continuar y bloquea los análisis de seguridad automatizados. Los archivos APK maliciosos se alojan en GitHub, lo que permite que se integren aún más en la infraestructura legítima.

Una vez ejecutado, el programa malicioso solicita a los usuarios que habiliten la instalación desde fuentes desconocidas, iniciando un complejo proceso de extracción de datos diseñado para eludir las medidas de seguridad y el aislamiento de procesos. A continuación, el malware se disfraza de aplicación de reproducción de vídeo y solicita permisos de acceso, lo que le otorga un control total sobre el funcionamiento del dispositivo mientras se ejecuta silenciosamente en segundo plano. Se muestra un mensaje falso de error de instalación para engañar a los usuarios, mientras que superposiciones maliciosas ocultan la actividad en curso.

La campaña ha utilizado varias identidades de aplicación engañosas:

StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – funciona como el dropper

Reproductor de video (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) – entregando la carga útil de Mirax

Arquitectura de mando y control y canales de comunicación

Mirax establece múltiples canales de comunicación bidireccionales con sus servidores C2, lo que permite una ejecución eficiente de tareas y la exfiltración de datos. Se utilizan distintas conexiones WebSocket para diferentes propósitos operativos:

  • El puerto 8443 gestiona el acceso remoto y la ejecución de comandos.
  • El puerto 8444 admite la transmisión remota y la exfiltración de datos.
  • El puerto 8445 (o puertos personalizados) facilita las operaciones de proxy residencial basadas en SOCKS5.

Esta arquitectura segmentada mejora la fiabilidad y la flexibilidad operativa, al tiempo que complica las labores de detección.

Una nueva fase en las operaciones ciberdelictivas

La integración de las capacidades de RAT y proxy residencial indica una evolución significativa en el diseño de amenazas móviles. Históricamente, las botnets proxy se asociaban con dispositivos IoT comprometidos o hardware Android de bajo costo, como televisores inteligentes. Mirax representa un cambio hacia la integración de estas capacidades en troyanos bancarios completos, lo que aumenta drásticamente tanto el valor de cada infección como la versatilidad de las operaciones de los atacantes.

Al combinar mecanismos de fraude financiero con infraestructura de proxy, Mirax permite a los ciberdelincuentes explotar directamente a las víctimas y, al mismo tiempo, utilizar sus dispositivos como activos en ecosistemas cibercriminales más amplios.


Tendencias

Estafa por correo electrónico sobre seguridad de...

Suplantación de identidad (phishing), Correo basura
En el panorama actual de amenazas, el correo electrónico sigue siendo uno de los puntos de entrada más comunes para los ciberataques. Los usuarios deben mantenerse alerta ante mensajes inesperados, especialmente aquellos que instan a tomar medidas inmediatas. Muchos de estos correos electrónicos son estafas cuidadosamente elaboradas, y es importante comprender que no están asociados con ninguna...

Correo electrónico fraudulento para solicitar la...

Suplantación de identidad (phishing), Correo basura
En el panorama actual de amenazas, es fundamental estar alerta ante correos electrónicos inesperados. Los ciberdelincuentes se valen de la urgencia, el miedo y la imitación para engañar a los usuarios y que tomen decisiones precipitadas. La estafa de la llamada "Solicitud de desactivación de cuenta de correo electrónico" es un claro ejemplo de la facilidad con la que los atacantes pueden imitar...

Mas Visto

Cargando...