Mirax RAT

新たに確認されたAndroid向けリモートアクセス型トロイの木馬「Mirax」は、大規模なソーシャルメディアキャンペーンを通じてスペイン語圏を積極的に標的にしている。攻撃者はFacebook、Instagram、Messenger、Threadsなどのプラットフォーム上の広告を利用し、22万以上のアカウントにリーチしている。この広範囲にわたる拡散は、マルウェア配布のために信頼できる広告エコシステムを悪用しようとする周到な企みを浮き彫りにしている。

高度なリモートコントロール機能

Miraxは、高度なリモートアクセス型トロイの木馬（RAT）として動作し、攻撃者に侵害されたデバイスに対する完全なリアルタイム制御権を与えます。その機能は標準的なRATの動作を超え、感染したシステムに対するきめ細かな監視と操作を可能にします。具体的には、キーストロークの記録、写真の流出、ロック画面データの収集、コマンドの実行、インターフェースの操作、ユーザーアクティビティの継続的な監視などが含まれます。

さらに、このマルウェアはコマンド＆コントロール（C2）インフラストラクチャから動的なHTMLオーバーレイを取得して表示することができ、欺瞞的なインターフェースを通じて認証情報を窃取することを容易にします。

被害者を代理インフラに変える

Miraxの特徴の一つは、感染したデバイスを住宅用プロキシノードに変換する機能です。SOCKS5プロトコルのサポートとYamux多重化を組み合わせることで、このマルウェアは永続的なプロキシチャネルを確立し、攻撃者のトラフィックを正規ユーザーのIPアドレス経由でルーティングします。この機能により、攻撃者は位置情報制限を回避し、不正検出メカニズムをすり抜け、アカウント乗っ取りなどの悪意のある活動を、より高い匿名性と信頼性をもって実行することが可能になります。

独占アクセス付きマルウェア・アズ・ア・サービス

Miraxは「Mirax Bot」という名称で、MaaS（Malware-as-a-Service）として販売されています。フル機能版は3ヶ月契約で2,500ドルです。同時に、プロキシ機能やGoogle Play Protectバイパス機能などの機能が省略された簡易版も月額1,750ドルで提供されています。一般的なMaaSプラットフォームとは異なり、配布は厳しく管理されており、主にアンダーグラウンドフォーラムで確固たる評判を持つロシア語圏の限られたアフィリエイトグループのみに限定されています。この排他性は、運用上のセキュリティとキャンペーンの持続的な効果に意図的に重点を置いていることを示唆しています。

悪質な広告によるソーシャルエンジニアリング

この感染経路は、Metaプラットフォーム上で配信される欺瞞的な広告キャンペーンに大きく依存しています。これらの広告は、ライブスポーツや映画への無料アクセスを提供する不正なストリーミングサービスを宣伝し、ユーザーに悪意のあるアプリケーションをダウンロードするよう誘い込みます。複数の広告が確認されており、特にスペインのユーザーをターゲットにしています。2026年4月6日に開始されたキャンペーンだけでも、約19万1000人のユーザーにリーチしており、この配信戦略の規模と有効性を示しています。

高度な配達および回避技術

Miraxは、検出と分析を回避するために設計された多段階感染プロセスを採用しています。ドロッパーアプリケーションは、厳格なアクセスチェックを実施するウェブページを介して配布され、モバイルユーザーのみが先に進めるようにすると同時に、自動セキュリティスキャンをブロックします。悪意のあるAPKファイルはGitHubでホストされ、正規のインフラストラクチャにさらに溶け込みます。

実行されると、ドロッパーはユーザーに未知のソースからのインストールを有効にするよう促し、サンドボックスやセキュリティツールを回避するように設計された複雑なペイロード抽出プロセスを開始します。その後、マルウェアはビデオ再生アプリケーションを装い、アクセシビリティサービスの権限を要求して、バックグラウンドで静かに実行されながら、デバイス操作に対する広範な制御権を取得します。ユーザーを欺くために偽のインストール失敗メッセージが表示され、悪意のあるオーバーレイが進行中の活動を隠蔽します。

このキャンペーンでは、複数の偽装されたアプリケーションIDが使用されています。

StreamTV（org.lgvvfj.pluscqpuj または org.dawme.secure5ny） - ドロッパーとして機能

Reproductor de video (org.yjeiwd.plusdc71 または org.azgaw.managergst1d) – Mirax ペイロードの配信

指揮統制アーキテクチャと通信チャネル

MiraxはC2サーバーとの間で複数の双方向通信チャネルを確立し、効率的なタスク実行とデータ漏洩を可能にしています。異なる運用目的には、それぞれ異なるWebSocket接続が使用されます。

• ポート8443は、リモートアクセス管理とコマンド実行を処理します。
• ポート8444は、リモートストリーミングとデータ漏洩をサポートしています。
• ポート8445（またはカスタムポート）は、SOCKS5ベースの住宅用プロキシ操作を容易にします。

この分割されたアーキテクチャは、信頼性と運用上の柔軟性を向上させる一方で、検出作業を複雑化させる。

サイバー犯罪活動の新たな局面

RATと住宅用プロキシ機能の統合は、モバイル脅威設計における大きな進化を示している。従来、プロキシボットネットは、侵害されたIoTデバイスやスマートテレビなどの低価格Androidハードウェアに関連付けられていた。Miraxは、これらの機能をフル機能のバンキング型トロイの木馬に組み込む方向への転換を示しており、感染による被害額と攻撃者の作戦の多様性を劇的に高めている。

Miraxは、金融詐欺の仕組みとプロキシインフラストラクチャを組み合わせることで、攻撃者が被害者を直接攻撃すると同時に、被害者のデバイスをより広範なサイバー犯罪エコシステムにおける資産として活用することを可能にする。