**Cleafy**, une entreprise italienne de prévention de la fraude en ligne, a identifié **Mirax** comme intégrant des capacités RAT avancées, accordant aux acteurs de la menace une interaction en temps réel avec les appareils compromis. Au-delà des fonctions RAT typiques, Mirax augmente sa valeur en transformant les appareils infectés en nœuds proxy résidentiels, exploitant le support du protocole SOCKS5 et le multiplexage Yamux pour des canaux proxy persistants. ### Mirax : une offre Malware-as-a-Service Les détails de Mirax ont émergé le mois dernier lorsque KrakenLabs d'**Outpost24** a rapporté qu'un acteur de la menace, « Mirax Bot », faisait la publicité d'une offre privée de malware-as-a-service (MaaS) sur des forums clandestins. L'ensemble complet coûte 2 500 $ pour un abonnement de trois mois, tandis qu'une variante légère, dépourvue de fonctionnalités proxy et de capacités de contournement de Google Play Protect via un crypteur, est disponible pour 1 750 $ par mois. Comme d'autres malwares Android, Mirax capture les frappes au clavier, vole des photos, collecte les détails de l'écran de verrouillage, exécute des commandes, navigue dans l'interface utilisateur et surveille l'activité de l'utilisateur. Il récupère dynamiquement des pages de superposition HTML depuis un serveur de commande et de contrôle (C2) pour le vol d'identifiants. ### Fonctionnalité de proxy résidentiel L'intégration d'un proxy SOCKS distingue Mirax des RAT conventionnels. Ce botnet proxy permet aux acteurs de la menace de contourner les restrictions basées sur la géolocalisation, d'échapper aux systèmes de détection de fraude et de mener des prises de contrôle de compte ou des fraudes transactionnelles sous couvert d'anonymat. « Contrairement aux offres MaaS typiques, Mirax est distribué via un modèle très contrôlé et exclusif, limité à un petit nombre d'affiliés », ont noté les chercheurs de **Cleafy**. L'accès est priorisé pour les acteurs russophones ayant une réputation établie, ce qui indique un effort délibéré pour maintenir la sécurité opérationnelle. ### Distribution via les publicités Meta Les chaînes d'attaque distribuant le malware utilisent les publicités **Meta** pour promouvoir des pages web d'applications dropper, trompant les utilisateurs pour qu'ils les téléchargent. Jusqu'à six publicités ont été observées, faisant souvent la promotion d'un service de streaming avec accès gratuit aux sports en direct et aux films. Cinq publicités ciblaient des utilisateurs en Espagne. Une publicité, diffusée depuis le 6 avril 2026, a atteint plus de 190 000 comptes.  Les URL des applications dropper implémentent des vérifications pour garantir l'accès depuis les appareils mobiles et empêcher les analyses automatisées. Des exemples d'applications malveillantes incluent : * StreamTV (org.lgvvfj.pluscqpuj ou org.dawme.secure5ny) - Application dropper * Reproductor de video (org.yjeiwd.plusdc71 ou org.azgaw.managergst1d) - Mirax Un aspect notable est l'utilisation de **GitHub** pour héberger les fichiers APK dropper malveillants. Le panneau de construction permet de choisir entre deux crypters – Virbox et **Golden Crypt** (alias Golden Encryption) – pour une protection APK améliorée. ### Processus d'infection Une fois installé, le dropper demande aux utilisateurs d'autoriser l'installation à partir de sources inconnues. Le processus d'extraction est une opération multi-étapes conçue pour échapper à l'analyse de sécurité et aux outils de sandboxing. Le malware se fait passer pour un utilitaire de lecture vidéo, invitant les utilisateurs à activer les services d'accessibilité. Il s'exécute en arrière-plan, affiche un faux message d'erreur et sert de fausses superpositions pour masquer les activités malveillantes. Il établit plusieurs canaux C2 bidirectionnels : * WebSocket sur le port 8443 : accès à distance et exécution de commandes. * WebSocket sur le port 8444 : streaming à distance et exfiltration de données. * WebSocket sur le port 8445 (ou un port personnalisé) : configuration de proxy résidentiel utilisant SOCKS5. « Cette convergence des capacités RAT et proxy reflète un changement plus large dans le paysage des menaces », a déclaré **Cleafy**. « Alors que l'abus de proxy résidentiel a historiquement été associé aux appareils IoT compromis, Mirax marque une nouvelle phase en intégrant cette fonctionnalité dans un cheval de Troie bancaire complet. » ### ASO RAT : une autre menace Android Séparément, Breakglass Intelligence a détaillé un RAT Android en langue arabe appelé ASO RAT, distribué via des applications déguisées en lecteurs PDF et en applications du gouvernement syrien. « La plateforme fournit des capacités de compromission complète de l'appareil – interception de SMS, accès à la caméra, suivi GPS, journalisation des appels, exfiltration de fichiers et lancement de DDoS depuis les appareils victimes », a déclaré l'entreprise. « Un panneau multi-utilisateurs avec contrôle d'accès basé sur les rôles suggère qu'il fonctionne comme un RAT-as-a-Service ou prend en charge une équipe multi-opérateurs. » Les leurres à thème syrien (par exemple, SyriaDefenseMap et GovLens) suggèrent le ciblage d'individus intéressés par les affaires militaires ou de gouvernance syriennes, potentiellement dans le cadre d'une opération de surveillance.