Uma nova e sofisticada ameaça está se espalhando silenciosamente pelo ecossistema Android. Chamado de Mirax, este Remote Access Trojan (RAT) foi identificado pela empresa italiana de prevenção a fraudes Cleafy e pela equipe KrakenLabs da Outpost24 como um dos trojans bancários mais completos já documentados para dispositivos móveis. O malware não apenas oferece controle remoto total do dispositivo da vítima, mas também introduz uma funcionalidade inédita no universo dos trojans bancários: a capacidade de transformar celulares infectados em nós de proxy residencial, utilizando o protocolo SOCKS5 combinado com multiplexação Yamux. Esta convergência entre RAT e proxy representa uma mudança significativa no cenário de ameaças móveis.
As campanhas ativas foram detectadas atingindo mais de 220.000 contas nas plataformas Meta, incluindo Facebook, Instagram, Messenger e Threads, com foco principal em países de língua espanhola na Europa. A pesquisa foi divulgada pela Cleafy em relatório técnico detalhado, com cobertura adicional do The Hacker News, GBHackers, Infosecurity Magazine e Zimperium.
Origem e Modelo de Negócio
O Mirax foi promovido publicamente pela primeira vez em fóruns clandestinos em 19 de dezembro de 2025, sob o pseudônimo “Mirax Bot”. Diferentemente de muitas ofertas de Malware as a Service (MaaS) que são amplamente acessíveis, o Mirax opera sob um modelo privado e exclusivo, restringindo o acesso a um número pequeno de afiliados. Os pesquisadores da Cleafy observaram que o acesso parece ser priorizado para atores de língua russa com reputações já estabelecidas nas comunidades clandestinas, o que indica um esforço deliberado para manter a segurança operacional e a eficácia das campanhas.
O modelo comercial inclui planos de assinatura em diferentes níveis. A versão completa do Mirax custa US$ 2.500 por uma assinatura de três meses, oferecendo todas as funcionalidades do RAT, incluindo proxy residencial e bypass do Google Play Protect. Uma variante mais leve está disponível por US$ 1.750 mensais, removendo certas funcionalidades como o proxy e a capacidade de evasão do Play Protect. O builder oferece ainda a escolha entre dois packers para proteção do APK: Virbox e Golden Crypt (também conhecido como Golden Encryption), sendo o último mais difícil de detectar e amplamente utilizado em fóruns clandestinos.
Esta estrutura comercial espelha práticas de software empresarial, com desenvolvimento contínuo de funcionalidades, documentação técnica detalhada que inclui capturas de tela do builder, especificações de opções do dropper e descrições do implante final.
Vetor de Distribuição: Malvertising via Meta Ads e Abuso do GitHub
A cadeia de ataque do Mirax se inicia com anúncios maliciosos veiculados nas plataformas Meta. Os atacantes criam campanhas publicitárias que promovem aplicativos falsos de IPTV e streaming ilegal de esportes ao vivo e filmes. A escolha do tema de engodo não é acidental: como esses aplicativos não estão disponíveis na Google Play Store, os usuários que os procuram já estão condicionados a instalar APKs de fontes desconhecidas, o que torna a engenharia social significativamente mais fácil.
Foram observados pelo menos seis anúncios ativos promovendo o serviço falso de streaming. Destes, cinco eram direcionados especificamente a usuários na Espanha. Um dos anúncios, que começou a ser veiculado em 6 de abril de 2026, alcançou sozinho 190.987 contas. No total, a análise revelou que os anúncios alcançaram coletivamente mais de 200.000 contas.
As páginas de download dos droppers implementam múltiplas verificações para garantir que estejam sendo acessadas a partir de dispositivos móveis, verificando cabeçalhos HTTP e parâmetros específicos. Isso impede que scanners automatizados e crawlers de segurança revelem a verdadeira natureza das páginas, mantendo a campanha operacional por mais tempo.
Um aspecto particularmente interessante da campanha é o abuso do GitHub para hospedar os APKs do dropper. Os afiliados utilizam a funcionalidade de Releases para distribuir e atualizar os aplicativos. Atualizações são enviadas para releases já existentes em vez de criar novas entradas, uma técnica de evasão que dificulta a coleta automatizada de amostras por crawlers. A análise revelou que, embora os hashes das amostras mudassem diariamente, o conteúdo do aplicativo permanecia inalterado, sugerindo repackaging automatizado ou rotação de assinaturas para contornar detecção baseada em hash.
Aplicativos Maliciosos Identificados
Os seguintes aplicativos foram identificados como parte da campanha:
StreamTV (pacotes org.lgvvfj.pluscqpuj e org.dawme.secure5ny) funciona como aplicativo dropper. Reproductor de video (pacotes org.yjeiwd.plusdc71 e org.azgaw.managergst1d) contém o malware Mirax propriamente dito.
Processo de Infecção: Uma Operação em Múltiplos Estágios
O processo de infecção do Mirax é uma operação sofisticada e multifásica, projetada especificamente para contornar análise de segurança convencional e ferramentas de sandboxing automatizadas.
Ao ser instalado, o dropper se disfarça como um aplicativo de IPTV e exibe uma página em WebView que instrui o usuário a habilitar a instalação de fontes desconhecidas para implantar o malware real. O APK do dropper não contém o código malicioso na seção de código principal. Em vez disso, ele armazena um arquivo Dalvik Executable (.dex) criptografado, escondido dentro de um arquivo com extensão de asset legítima, enterrado profundamente na estrutura de diretórios do APK. Os nomes das pastas contêm caracteres incomuns, uma técnica específica para confundir ferramentas de análise estática.
A descriptografia do payload utiliza o algoritmo RC4 com uma chave hardcoded embutida na classe do aplicativo. Após a descriptografia bem sucedida, o arquivo .dex contém o conjunto completo de instruções para extrair e instalar o APK final, armazenado na pasta res/raw/. Este arquivo é criptografado usando XOR com uma chave hardcoded presente no BuildConfig. O dropper descriptografa o payload e prossegue com a instalação.
Quando o malware é instalado, ele se disfarça como um utilitário de reprodução de vídeo e solicita ao usuário que habilite os Serviços de Acessibilidade do Android. Uma vez concedida esta permissão, o malware começa a operar em segundo plano e exibe uma página HTML personalizada indicando que a instalação não foi bem sucedida (uma mensagem falsa). Além disso, utiliza overlays pretos para desabilitar funcionalidades de segurança e estabelecer persistência.
Funcionalidades do RAT
O Mirax integra um conjunto abrangente de funcionalidades de controle remoto que permitem aos atacantes interagir completamente com dispositivos comprometidos em tempo real. A análise do código fonte e da documentação disponível revela as seguintes capacidades principais:
A primeira e mais importante é a Injeção de Overlays HTML Dinâmicos. O malware busca, sob demanda, páginas HTML e JavaScript do servidor C2 e as renderiza sobre aplicativos legítimos de bancos e criptomoedas. Essa técnica permite roubar credenciais, PINs e senhas de uso único (OTP) de forma transparente para a vítima. A análise identificou overlays para múltiplos aplicativos bancários espanhóis e aplicativos de criptomoeda, com um total de 182 aplicativos alvo (número que continua crescendo).
A segunda funcionalidade é a Captura de Tela e VNC, permitindo ao atacante visualizar a tela em tempo real e controlar o dispositivo remotamente, essencialmente operando o celular da vítima como se estivesse com ele em mãos.
O Mirax também oferece Navegação e Controle de Interface via Serviços de Acessibilidade para executar ações de navegação no dispositivo, incluindo simulação de toques, gestos de deslizar, botões home, voltar e aplicativos recentes.
A funcionalidade de Keylogging e Exfiltração de Keyguard permite a captura contínua de todas as entradas do usuário em todos os aplicativos. Além disso, o malware coleta informações detalhadas sobre a configuração da tela de bloqueio, incluindo comprimento do PIN, estrutura do padrão e uso de métodos biométricos como impressão digital ou reconhecimento facial. Esses dados suportam fraudes subsequentes, pois os atacantes podem usar as credenciais coletadas para derrotar proteções de aplicativos bancários, redefinir contas ou engenharia social durante chamadas de suporte.
As capacidades de Espionagem e Exfiltração de Dados incluem módulos que interceptam e carregam mensagens SMS, ativam a câmera em segundo plano para capturar fotos ou vídeo, acessam o conteúdo da área de transferência e exfiltram dados do dispositivo.
O Gerenciamento de Aplicativos permite ao malware gerenciar os aplicativos instalados no dispositivo, incluindo desinstalar aqueles que possam detectar sua presença ou impedir sua remoção, e também possui proteção anti desinstalação que impede que a vítima remova o malware.
A Inovação: Proxy Residencial SOCKS5
A funcionalidade mais distinta e preocupante do Mirax é sua capacidade integrada de proxy residencial. Utilizando o protocolo SOCKS5 combinado com multiplexação Yamux sobre canais WebSocket, o malware estabelece túneis persistentes e multiplexados que roteiam o tráfego do atacante através do endereço IP real da vítima.
Essa capacidade significa que, mesmo que um dispositivo não esteja sendo ativamente usado para fraude bancária, ele ainda possui valor para os operadores como um nó de saída para acessar a internet a partir de um endereço IP residencial legítimo. As implicações são significativas, pois permite aos atacantes contornar controles baseados em geolocalização, evadir sistemas de detecção de fraude que dependem de reputação de IP e fingerprinting de dispositivos, conduzir ataques de account takeover (ATO) ou fraude transacional com maior anonimato e legitimidade, realizar password spraying e ataques DDoS a partir de IPs residenciais de boa reputação, e acessar redes locais para descobrir dispositivos vulneráveis conectados e realizar movimentação lateral.
Essa convergência é particularmente notável porque, historicamente, o abuso de proxies residenciais tem sido associado a dispositivos IoT comprometidos e hardware Android de baixo custo, como smart TVs baratas. O Mirax marca uma nova fase ao incorporar essa funcionalidade dentro de um trojan bancário completo, aumentando o potencial de monetização de cada infecção e expandindo o escopo operacional dos atacantes.
A documentação dos desenvolvedores afirma explicitamente que, mesmo quando a vítima recusa habilitar os Serviços de Acessibilidade mas mantém o aplicativo instalado, o componente de proxy pode continuar funcionando em segundo plano com permissões mais simples. Neste cenário, o ataque completo não seria bem sucedido, mas os operadores ainda extraem valor do dispositivo parcialmente comprometido ao utilizá lo como nó da botnet de proxy.
Comunicação C2
O Mirax estabelece múltiplos canais WebSocket bidirecionais para gerenciar suas operações. O canal na porta 8443, endpoint /control, é utilizado para gerenciar o acesso remoto e executar comandos. O canal na porta 8444, endpoint /data, é utilizado para streaming remoto e exfiltração de dados. O canal na porta 8445 (ou porta personalizada), endpoint /tunnel, é utilizado para configurar o proxy residencial via SOCKS5, com conexão direta a um servidor relay específico dos operadores.
A documentação do malware afirma explicitamente que utiliza um servidor C2 Gate, atuando como proxy entre os dispositivos infectados e os verdadeiros servidores C2 dos afiliados. Todos os samples analisados da campanha contatam o mesmo domínio, e o servidor gate redireciona o tráfego conforme necessário.
A comunicação é bidirecional: o telefone infectado envia periodicamente informações sobre o estado do dispositivo e do malware instalado, enquanto o servidor pode enviar diversos comandos para ativar funcionalidades, recuperar informações específicas ou carregar diferentes configurações.
Comandos C2 Completos
O conjunto de comandos do Mirax é extremamente abrangente. Entre os mais importantes estão: addExternalHtmlTemplate (adiciona template de overlay HTML externo), addHtmlInjectionConfig (vincula um pacote alvo a um overlay HTML), blackScreen (ativa overlay de tela preta para ocultar atividade maliciosa), blockApp (bloqueia a abertura de um aplicativo específico), collectSmsNow (dispara upload imediato de todas as mensagens SMS), enableNeverSleep (força a tela a permanecer ligada indefinidamente), enableUninstallProtection (impede a desinstalação do malware), getInstalledApps (recupera lista de todos os aplicativos instalados), getKeyguardInfo (reporta configuração da tela de bloqueio), socks5_enable (inicia ou para a conexão de proxy residencial), socks5_status_request (obtém status do proxy residencial), startCamera (ativa câmera em segundo plano), startScreenSharing (inicia captura e streaming da tela), startVncScreenSharing (inicia sessão VNC interativa), entre dezenas de outros comandos para gerenciamento completo do dispositivo.
Indicadores de Comprometimento (IoCs)
Os hashes SHA256 dos APKs identificados são: 53de68ebec281e7233bffc52199b22ec2dba463eec3b29d4c399838e18daecbf (StreamTV, dropper), 88e6e4a5478a3ee7bfdfc5e7614ae6f3f121e0d470741a9cc84a111fe9b266db (Reproductor de video, malware), 759eed82699b86b6a792a63ccc76c2fa5ed71720b89132abdead9753f5d7bd11 (StreamTV, dropper) e 29577570d18409d93fa2517198354716740b19699eb5392bfaa265f2f6b91896 (Reproductor de video, malware).
Os indicadores de rede incluem o domínio descarga-smtr[.]net utilizado como página de entrega, o domínio ilovepng[.]info utilizado como servidor C2, a URL wss://ilovepng[.]info:8443/control para comandos em tempo real e a URL wss://ilovepng[.]info:8444/data para exfiltração.
Idiomas e Alvos Geográficos
Embora a campanha atual tenha como alvo principal a Espanha e países de língua espanhola, o Mirax suporta múltiplos idiomas: chinês, italiano, alemão, hebraico, húngaro, japonês, polonês, português, espanhol, esloveno e francês. Isso indica que futuras campanhas podem se expandir para outros países e regiões, incluindo o Brasil e Portugal. Os desenvolvedores afirmam explicitamente que o trojan é incompatível com países da CEI (Comunidade dos Estados Independentes), provavelmente para evitar conflitos com as autoridades russas.
Contexto Mais Amplo
A divulgação do Mirax coincide com a identificação pela Breakglass Intelligence de outro RAT Android em língua árabe chamado ASO RAT, distribuído através de aplicativos disfarçados de leitores de PDF e aplicativos do governo sírio. Isso demonstra uma tendência crescente de RATs sofisticados para Android sendo utilizados em diferentes contextos geopolíticos e para diferentes finalidades, desde fraude financeira até vigilância estatal.
Recomendações de Segurança Dolutech
Para proteção individual, recomendamos nunca instalar aplicativos de fora da Google Play Store oficial, especialmente aqueles promovidos por anúncios em redes sociais. Desconfie de serviços de streaming gratuitos, IPTV ilegal e aplicativos que prometem acesso gratuito a conteúdo pago. Verifique regularmente as permissões concedidas aos aplicativos, especialmente Serviços de Acessibilidade. Mantenha o Google Play Protect ativo e atualizado. Monitore o consumo anormal de dados e bateria, que podem indicar atividade de proxy em segundo plano.
Para equipes de segurança corporativa, recomendamos implementar soluções de Mobile Threat Defense (MTD) nos dispositivos corporativos. Bloqueie os IoCs listados acima nos firewalls e sistemas de detecção. Monitore tráfego WebSocket anômalo nas portas 8443, 8444 e 8445 originado de dispositivos móveis. Implemente políticas de MDM que impeçam a instalação de aplicativos de fontes desconhecidas. Eduque os usuários sobre os riscos de sideloading de APKs a partir de links em anúncios de redes sociais. Monitore conexões SOCKS5 inesperadas originadas de segmentos de rede móvel. Bloqueie o User Agent “Adobe Synchronizer” no tráfego HTTP/HTTPS (não relacionado ao Mirax especificamente, mas uma boa prática geral).
Conclusão
O Mirax representa uma evolução significativa no cenário de trojans bancários Android. A combinação de um RAT completo com funcionalidades de proxy residencial, distribuído através de plataformas legítimas como Meta Ads e GitHub, demonstra o nível crescente de sofisticação dos cibercriminosos. O modelo de MaaS privado e exclusivo, com documentação detalhada e desenvolvimento contínuo, indica que esta ameaça está sendo operada profissionalmente e tende a se expandir para outros mercados e idiomas nos próximos meses.
A Dolutech continuará monitorando a evolução do Mirax e publicará atualizações conforme novas informações e campanhas forem identificadas.
Referências
Cleafy Labs, “Mirax: a new Android RAT turning infected devices into potential residential proxy nodes”: https://www.cleafy.com/cleafy-labs/mirax-a-new-android-rat-turning-infected-devices-into-potential-residential-proxy-nodes
The Hacker News, “Mirax Android RAT Turns Devices into SOCKS5 Proxies, Reaching 220K+ Accounts via Meta Ads”: https://thehackernews.com/2026/04/mirax-android-rat-turns-devices-into.html
GBHackers, “Mirax Android RAT Hijacks Infected Phones as Residential Proxies”: https://gbhackers.com/mirax-android-rat/
Infosecurity Magazine, “Mirax Android Trojan Turns Devices Into Residential Proxy Nodes”: https://www.infosecurity-magazine.com/news/mirax-trojan-devices-proxy-nodes/
Zimperium, “Mirax Bot Android Malware Enables Remote Banking Fraud”: https://zimperium.com/blog/mobile-threat-watch/mirax-bot-android-malware-enables-remote-banking-fraud
Outpost24 KrakenLabs (X/Twitter): https://x.com/KrakenLabs_Team/status/2029525839860163010
Meta Ads Library (campanhas StreamTV): https://www.facebook.com/ads/library/?active_status=active&ad_type=all&country=ALL&q=streamtv esp
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.