イタリアのオンライン不正防止企業である**Cleafy**は、**Mirax**が高度なRAT機能を統合しており、脅威アクターに侵害されたデバイスとのリアルタイムなやり取りを可能にしていることを特定しました。Miraxは、一般的なRAT機能を超えて、SOCKS5プロトコルサポートとYamux多重化を活用して永続的なプロキシチャネルを確立し、感染デバイスを住宅用プロキシノードに変換することでその価値を高めています。 ### Mirax：マルウェア・アズ・ア・サービス提供 Miraxの詳細が明らかになったのは先月、**Outpost24**のKrakenLabsが、脅威アクター「Mirax Bot」がアンダーグラウンドフォーラムでプライベートなマルウェア・アズ・ア・サービス（MaaS）の提供を宣伝していると報告したときでした。フルパッケージは3ヶ月のサブスクリプションで2,500ドルですが、プロキシ機能と、クライプターによるGoogle Play Protectバイパス機能を欠いた軽量版は、月額1,750ドルで利用可能です。 他のAndroidマルウェアと同様に、Miraxはキーストロークをキャプチャし、写真を盗み、ロック画面の詳細を収集し、コマンドを実行し、UIを操作し、ユーザーアクティビティを監視します。コマンド・アンド・コントロール（C2）サーバーから動的にHTMLオーバーレイページを取得して、認証情報窃盗を行います。 ### 住宅用プロキシ機能 SOCKSプロキシの組み込みは、Miraxを従来のRATと区別する点です。このプロキシボットネットにより、脅威アクターは地理位置情報に基づいた制限を回避し、不正検出システムを回避し、匿名性を装ってアカウント乗っ取りやトランザクション詐欺を実行できます。 「一般的なMaaS提供とは異なり、Miraxは高度に管理され排他的なモデルを通じて配布されており、少数のアフィリエイトに限定されています」と**Cleafy**の研究者は指摘しています。「アクセスは、評判の高いロシア語圏のアクターに優先的に提供されており、運用セキュリティを維持するための意図的な努力を示唆しています。」 ### Meta広告による配布 マルウェアを配布する攻撃チェーンは、**Meta**広告を利用してドロッパーアプリのウェブページを宣伝し、ユーザーをダウンロードに誘導します。最大6つの広告が確認されており、多くの場合、ライブスポーツや映画への無料アクセスを提供するストリーミングサービスを宣伝しています。5つの広告はスペインのユーザーを標的にしていました。4月6日から実行されている1つの広告は、19万件以上のアカウントに到達しました。  ドロッパーアプリのURLは、モバイルデバイスからのアクセスを確実にし、自動スキャンを防ぐためのチェックを実装しています。悪意のあるアプリの例としては、以下が挙げられます。 * StreamTV (org.lgvvfj.pluscqpuj または org.dawme.secure5ny) - ドロッパーアプリ * Reproductor de video (org.yjeiwd.plusdc71 または org.azgaw.managergst1d) - Mirax 注目すべき点は、悪意のあるドロッパーAPKファイルをホストするために**GitHub**が使用されていることです。ビルダーパネルでは、APK保護を強化するために、Virboxと**Golden Crypt**（別名Golden Encryption）の2つのクライプターを選択できます。 ### 感染プロセス インストールされると、ドロッパーはユーザーに不明なソースからのインストールを許可するように指示します。抽出プロセスは、セキュリティ分析やサンドボックスツールを回避するように設計された多段階の操作です。 マルウェアはビデオ再生ユーティリティを装い、ユーザーにアクセシビリティサービスを有効にするように促します。バックグラウンドで実行され、偽のエラーメッセージを表示し、偽のオーバーレイを提供して悪意のあるアクティビティを隠蔽します。複数の双方向C2チャネルを確立します。 * ポート8443のWebSocket：リモートアクセスとコマンド実行。 * ポート8444のWebSocket：リモートストリーミングとデータ漏洩。 * ポート8445（またはカスタムポート）のWebSocket：SOCKS5を使用した住宅用プロキシ設定。 「RATとプロキシ機能のこの収束は、脅威ランドスケープにおけるより広範なシフトを反映しています」と**Cleafy**は述べています。「住宅用プロキシの悪用は、歴史的に侵害されたIoTデバイスに関連付けられてきましたが、Miraxは、この機能をフル機能のバンキングトロイの木馬に組み込むことで、新しい段階を迎えています。」 ### ASO RAT：別のAndroid脅威 別途、Breakglass Intelligenceは、PDFリーダーやシリア政府のアプリケーションを装ったアプリを通じて配布されている、アラビア語のAndroid RATであるASO RATについて詳述しました。 「このプラットフォームは、SMS傍受、カメラアクセス、GPS追跡、通話ログ、ファイル漏洩、および被害者デバイスからのDDoS起動など、完全なデバイス侵害機能を提供します」と同社は述べています。「ロールベースのアクセス制御を備えたマルチユーザーパネルは、これがRATアズ・ア・サービスとして運営されているか、マルチオペレーターチームをサポートしていることを示唆しています。」 シリアをテーマにしたルアー（例：SyriaDefenseMapおよびGovLens）は、シリアの軍事または統治問題に関心のある個人を標的にしていることを示唆しており、監視操作の一部である可能性があります。