**Cleafy**, ein italienisches Unternehmen zur Verhinderung von Online-Betrug, hat **Mirax** als eine fortschrittliche RAT-Funktionalität identifiziert, die es Bedrohungsakteuren ermöglicht, in Echtzeit mit kompromittierten Geräten zu interagieren. Über typische RAT-Funktionen hinaus steigert Mirax seinen Wert, indem es infizierte Geräte in Residential Proxy Nodes verwandelt und dabei die SOCKS5-Protokollunterstützung und Yamux-Multiplexing für persistente Proxy-Kanäle nutzt. ### Mirax: Ein Malware-as-a-Service-Angebot Details zu Mirax tauchten letzten Monat auf, als **Outpost24**s KrakenLabs berichtete, dass ein Bedrohungsakteur, „Mirax Bot“, ein privates Malware-as-a-Service (MaaS)-Angebot auf Underground-Foren bewarb. Das vollständige Paket kostet 2.500 US-Dollar für ein dreimonatiges Abonnement, während eine schlanke Variante, die keine Proxy-Funktionen und die Umgehung von Google Play Protect über einen Crypter bietet, für 1.750 US-Dollar pro Monat erhältlich ist. Wie andere Android-Malware erfasst Mirax Tastatureingaben, stiehlt Fotos, sammelt Anmeldebildschirmdetails, führt Befehle aus, navigiert durch die Benutzeroberfläche und überwacht Benutzeraktivitäten. Es ruft dynamisch HTML-Overlay-Seiten von einem Command-and-Control (C2)-Server ab, um Anmeldedaten zu stehlen. ### Residential Proxy-Funktionalität Die Integration eines SOCKS-Proxys unterscheidet Mirax von herkömmlichen RATs. Dieses Proxy-Botnet ermöglicht es Bedrohungsakteuren, geografisch basierte Einschränkungen zu umgehen, Betrugserkennungssysteme zu umgehen und Account-Übernahmen oder Transaktionsbetrug unter dem Deckmantel der Anonymität durchzuführen. „Im Gegensatz zu typischen MaaS-Angeboten wird Mirax über ein stark kontrolliertes und exklusives Modell vertrieben, das auf eine kleine Anzahl von Partnern beschränkt ist“, bemerkten **Cleafy**-Forscher. Der Zugang wird für russischsprachige Akteure mit etablierten Reputationen priorisiert, was auf eine bewusste Anstrengung zur Aufrechterhaltung der operativen Sicherheit hindeutet. ### Verteilung über Meta-Anzeigen Angriffsketten, die die Malware verbreiten, nutzen **Meta**-Anzeigen, um Dropper-App-Webseiten zu bewerben und Benutzer zum Herunterladen zu verleiten. Bis zu sechs Anzeigen wurden beobachtet, die oft einen Streaming-Dienst mit kostenlosem Zugang zu Live-Sport und Filmen bewarben. Fünf Anzeigen richteten sich an Benutzer in Spanien. Eine Anzeige, die seit dem 6. April 2026 läuft, erreichte über 190.000 Konten.  Die Dropper-App-URLs implementieren Prüfungen, um den Zugriff von mobilen Geräten sicherzustellen und automatisierte Scans zu verhindern. Beispiele für bösartige Apps sind: * StreamTV (org.lgvvfj.pluscqpuj oder org.dawme.secure5ny) - Dropper-App * Reproductor de video (org.yjeiwd.plusdc71 oder org.azgaw.managergst1d) - Mirax Ein bemerkenswerter Aspekt ist die Verwendung von **GitHub** zum Hosten der bösartigen Dropper-APK-Dateien. Das Builder-Panel ermöglicht die Auswahl zwischen zwei Cryptern – Virbox und **Golden Crypt** (auch bekannt als Golden Encryption) – für verbesserten APK-Schutz. ### Infektionsprozess Nach der Installation weist der Dropper Benutzer an, die Installation aus unbekannten Quellen zu erlauben. Der Extraktionsprozess ist eine mehrstufige Operation, die darauf ausgelegt ist, Sicherheitsanalysen und Sandboxing-Tools zu umgehen. Die Malware tarnt sich als Videowiedergabedienst und fordert Benutzer auf, Barrierefreiheitsdienste zu aktivieren. Sie läuft im Hintergrund, zeigt eine gefälschte Fehlermeldung an und liefert betrügerische Overlays, um bösartige Aktivitäten zu verschleiern. Sie richtet mehrere bidirektionale C2-Kanäle ein: * WebSocket auf Port 8443: Remote-Zugriff und Befehlsausführung. * WebSocket auf Port 8444: Remote-Streaming und Datenexfiltration. * WebSocket auf Port 8445 (oder einem benutzerdefinierten Port): Residential Proxy-Einrichtung mit SOCKS5. „Diese Konvergenz von RAT- und Proxy-Funktionen spiegelt einen breiteren Wandel in der Bedrohungslandschaft wider“, erklärte **Cleafy**. „Während die missbräuchliche Nutzung von Residential Proxies historisch mit kompromittierten IoT-Geräten in Verbindung gebracht wurde, markiert Mirax eine neue Phase, indem es diese Funktionalität in einen vollwertigen Banking-Trojaner einbettet.“ ### ASO RAT: Eine weitere Android-Bedrohung Separat hat Breakglass Intelligence einen arabischsprachigen Android RAT namens ASO RAT detailliert beschrieben, der über Apps vertrieben wird, die als PDF-Reader und syrische Regierungsanwendungen getarnt sind. „Die Plattform bietet vollständige Gerätekompromittierungsfunktionen – SMS-Abfangen, Kamera-Zugriff, GPS-Tracking, Anrufprotokollierung, Dateiexfiltration und DDoS-Starts von Opfergeräten“, sagte das Unternehmen. „Ein Multi-User-Panel mit rollenbasierter Zugriffskontrolle deutet darauf hin, dass dies als RAT-as-a-Service fungiert oder ein Multi-Operator-Team unterstützt.“ Syrien-bezogene Köder (z. B. SyriaDefenseMap und GovLens) deuten auf die Zielgruppe von Personen hin, die sich für syrische militärische oder Regierungsangelegenheiten interessieren, möglicherweise als Teil einer Überwachungsoperation.