Хотели посмотреть «клубничку» — остались без денег на карте. Mirax активно ищет новых жертв
NewsMakerЗаражённые устройства больше не подчиняются командам законного хозяина.
На рынке Android-вредоносов появился новый игрок, который умеет не только красть данные и перехватывать управление смартфоном, но и использовать чужие устройства как удобный промежуточный узел для новых атак. Mirax быстро набрал популярность в криминальной среде и уже отметился кампаниями против пользователей в испаноязычных странах, где злоумышленники продвигали заражённые приложения через рекламу в сервисах Meta.
О новой схеме рассказали специалисты Cleafy. По их данным, Mirax распространяют как закрытый сервис для ограниченного круга партнёров. Доступ к платформе, судя по наблюдениям, получают в первую очередь участники русскоязычных подпольных сообществ с наработанной репутацией. Такой подход помогает авторам вредоноса лучше скрывать операции и дольше избегать утечек.
Вредонос маскируют под приложения для IPTV, просмотра видео, утилиты для IoT-устройств и даже контент для взрослых. Пользователей заманивают на фишинговые страницы через рекламные объявления в Facebook и Instagram, после чего предлагают скачать APK-файл с GitHub Releases. Ссылки проверяют, открыта ли страница с мобильного устройства, чтобы затруднить анализ. Cleafy оценивает охват замеченных рекламных кампаний более чем в 200 тысяч аккаунтов.
После установки Mirax получает доступ к функциям удалённого управления устройством. Операторы могут просматривать экран, управлять интерфейсом, запускать приложения, собирать SMS, содержимое буфера обмена и сведения о блокировке экрана, включая параметры PIN-кода, графического ключа и биометрии. Для кражи данных Mirax подгружает с управляющего сервера HTML-накладки и показывает их поверх легитимных программ, в том числе банковских и криптовалютных.
На рынке Android-вредоносов появился новый игрок, который умеет не только красть данные и перехватывать управление смартфоном, но и использовать чужие устройства как удобный промежуточный узел для новых атак. Mirax быстро набрал популярность в криминальной среде и уже отметился кампаниями против пользователей в испаноязычных странах, где злоумышленники продвигали заражённые приложения через рекламу в сервисах Meta.
О новой схеме рассказали специалисты Cleafy. По их данным, Mirax распространяют как закрытый сервис для ограниченного круга партнёров. Доступ к платформе, судя по наблюдениям, получают в первую очередь участники русскоязычных подпольных сообществ с наработанной репутацией. Такой подход помогает авторам вредоноса лучше скрывать операции и дольше избегать утечек.
Вредонос маскируют под приложения для IPTV, просмотра видео, утилиты для IoT-устройств и даже контент для взрослых. Пользователей заманивают на фишинговые страницы через рекламные объявления в Facebook и Instagram, после чего предлагают скачать APK-файл с GitHub Releases. Ссылки проверяют, открыта ли страница с мобильного устройства, чтобы затруднить анализ. Cleafy оценивает охват замеченных рекламных кампаний более чем в 200 тысяч аккаунтов.
После установки Mirax получает доступ к функциям удалённого управления устройством. Операторы могут просматривать экран, управлять интерфейсом, запускать приложения, собирать SMS, содержимое буфера обмена и сведения о блокировке экрана, включая параметры PIN-кода, графического ключа и биометрии. Для кражи данных Mirax подгружает с управляющего сервера HTML-накладки и показывает их поверх легитимных программ, в том числе банковских и криптовалютных.