**Cleafy**, uma empresa italiana de prevenção a fraudes online, identificou o **Mirax** como integrador de capacidades avançadas de RAT, concedendo aos atores de ameaças interação em tempo real com dispositivos comprometidos. Além das funções típicas de RAT, o Mirax aumenta seu valor transformando dispositivos infectados em nós de proxy residenciais, aproveitando o suporte ao protocolo SOCKS5 e a multiplexação Yamux para canais de proxy persistentes. ### Mirax: Uma Oferta de Malware-as-a-Service Detalhes do Mirax surgiram no mês passado, quando o KrakenLabs da **Outpost24** relatou que um ator de ameaças, o "Mirax Bot", estava anunciando uma oferta privada de malware-as-a-service (MaaS) em fóruns underground. O pacote completo custa US$ 2.500 por uma assinatura de três meses, enquanto uma variante leve, sem recursos de proxy e capacidades de bypass do Google Play Protect via crypter, está disponível por US$ 1.750 por mês. Como outros malwares Android, o Mirax captura pressionamentos de teclas, rouba fotos, coleta detalhes da tela de bloqueio, executa comandos, navega na interface do usuário e monitora a atividade do usuário. Ele busca dinamicamente páginas de overlay HTML de um servidor de comando e controle (C2) para roubo de credenciais. ### Funcionalidade de Proxy Residencial A incorporação de um proxy SOCKS diferencia o Mirax dos RATs convencionais. Essa botnet de proxy permite que os atores de ameaças contornem restrições baseadas em geolocalização, evitem sistemas de detecção de fraude e realizem tomadas de conta ou fraudes de transação sob o disfarce de anonimato. "Ao contrário das ofertas típicas de MaaS, o Mirax é distribuído através de um modelo altamente controlado e exclusivo, limitado a um pequeno número de afiliados", observaram os pesquisadores da **Cleafy**. O acesso é priorizado para atores de língua russa com reputações estabelecidas, indicando um esforço deliberado para manter a segurança operacional. ### Distribuição via Anúncios da Meta As cadeias de ataque que distribuem o malware usam anúncios da **Meta** para promover páginas web de aplicativos dropper, enganando os usuários para que os baixem. Até seis anúncios foram observados, muitas vezes promovendo um serviço de streaming com acesso gratuito a esportes ao vivo e filmes. Cinco anúncios visaram usuários na Espanha. Um anúncio, em execução desde 6 de abril de 2026, alcançou mais de 190.000 contas.  Os URLs dos aplicativos dropper implementam verificações para garantir o acesso de dispositivos móveis e impedir varreduras automatizadas. Exemplos de aplicativos maliciosos incluem: * StreamTV (org.lgvvfj.pluscqpuj ou org.dawme.secure5ny) - Aplicativo Dropper * Reproductor de video (org.yjeiwd.plusdc71 ou org.azgaw.managergst1d) - Mirax Um aspecto notável é o uso do **GitHub** para hospedar os arquivos APK do dropper malicioso. O painel do construtor permite a seleção entre dois crypters – Virbox e **Golden Crypt** (também conhecido como Golden Encryption) – para proteção aprimorada do APK. ### Processo de Infecção Uma vez instalado, o dropper instrui os usuários a permitir a instalação de fontes desconhecidas. O processo de extração é uma operação de múltiplos estágios projetada para evadir ferramentas de análise de segurança e sandboxing. O malware se disfarça como um utilitário de reprodução de vídeo, solicitando aos usuários que ativem os serviços de acessibilidade. Ele é executado em segundo plano, exibe uma mensagem de erro falsa e serve overlays falsos para ocultar atividades maliciosas. Ele estabelece múltiplos canais C2 bidirecionais: * WebSocket na porta 8443: Acesso remoto e execução de comandos. * WebSocket na porta 8444: Streaming remoto e exfiltração de dados. * WebSocket na porta 8445 (ou uma porta personalizada): Configuração de proxy residencial usando SOCKS5. "Essa convergência de capacidades de RAT e proxy reflete uma mudança mais ampla no cenário de ameaças", declarou a **Cleafy**. "Embora o abuso de proxy residencial tenha sido historicamente associado a dispositivos IoT comprometidos, o Mirax marca uma nova fase ao incorporar essa funcionalidade em um trojan bancário completo." ### ASO RAT: Outra Ameaça Android Separadamente, a Breakglass Intelligence detalhou um RAT Android em idioma árabe chamado ASO RAT, distribuído por meio de aplicativos disfarçados de leitores de PDF e aplicativos do governo sírio. "A plataforma fornece capacidades completas de comprometimento de dispositivo – interceptação de SMS, acesso à câmera, rastreamento de GPS, registro de chamadas, exfiltração de arquivos e lançamento de DDoS a partir de dispositivos de vítimas", disse a empresa. "Um painel multiusuário com controle de acesso baseado em função sugere que isso opera como um RAT-as-a-Service ou suporta uma equipe multioperador." Iscas com tema sírio (por exemplo, SyriaDefenseMap e GovLens) sugerem o direcionamento de indivíduos interessados em assuntos militares ou de governança sírios, potencialmente como parte de uma operação de vigilância.