Mirax Android RAT Terbaru Mengubah Perangkat Korban Menjadi Nodes SOCKS5 Proxy

Baru-baru ini, sebuah Remote Access Trojan (RAT) baru untuk Android bernama Mirax telah teridentifikasi. Malware ini memiliki kapabilitas spesifik untuk mengubah ponsel yang terinfeksi menjadi residential proxy nodes. Berdasarkan laporan terbaru, kampanye Mirax telah menjangkau lebih dari 220.000 akun melalui eksploitasi ekosistem periklanan Meta.

1. Vektor Penyebaran: Manipulasi Iklan Meta

Kampanye Mirax memanfaatkan iklan masif di platform Meta (Facebook, Instagram, Messenger, Threads). Iklan ini mengarahkan korban untuk mengunduh aplikasi dropper yang menyamar sebagai aplikasi media populer seperti “StreamTV” atau “Reproductor de video”.

Device checks on installation

2. Arsitektur Teknis: SOCKS5 & Tunneling

Berbeda dengan trojan standar, Mirax menggunakan protokol SOCKS5 dan metode Yamux multiplexing via WebSocket untuk menciptakan tunnel proxy permanen. Teknik ini memungkinkan penyerang menyembunyikan IP asli mereka dengan merutekan trafik berbahaya melalui perangkat korban.

Mirax attack chain overview

3. Fitur Operasional C2 & Manipulasi

Sebagai RAT canggih, Mirax memberikan kontrol penuh secara real-time terhadap perangkat target:

• HTML Injection Overlay: Menampilkan layar phishing bank palsu di atas aplikasi sah untuk mencuri kredensial.
• Black Screen Manipulation: Memaksa perangkat menampilkan layar hitam guna menyembunyikan aktivitas pencurian di latar belakang.
• Pencurian Data Otomatis: Mengunggah seluruh pesan SMS dan mengambil isi dari sistem clipboard secara berkala.
• Anti-Uninstall Protection: Mencegah korban untuk menghapus aplikasi berbahaya dari sistem.

4. Ekosistem Malware-as-a-Service (MaaS)

Mirax didistribusikan melalui model bisnis MaaS oleh entitas “Mirax Bot” di berbagai forum underground. Akses layanan ini sangat dibatasi dan diprioritaskan bagi peretas berbahasa Rusia yang memiliki reputasi.