行業新聞與部落格

一種名為 Mirax 的新型 Android 銀行木馬正在歐洲蔓延，它結合了遠端訪問功能和住宅代理功能，以擴大其影響範圍。

根據 Cleafy 釋出的一份公告，該惡意軟體已被發現以西班牙語使用者為目標，其攻擊活動透過社交媒體平臺上的廣告覆蓋了超過 20 萬個帳戶。

Cleafy 表示，Mirax 代表了 Android 惡意軟體開發和部署方式的轉變。與傳統威脅不同，它採用受限的惡意軟體即服務（MaaS）模式執行，僅允許少數關聯方訪問。這種受控方式似乎旨在維護執行安全的同時，提高攻擊活動的有效性。

該惡意軟體使攻擊者能夠即時完全控制受感染的裝置。它可以執行命令、監控活動，並在合法應用程式上部署虛假覆蓋層以竊取敏感資料。這些覆蓋層是從命令與控制 (C2) 伺服器動態獲取的，這使得檢測工作更加複雜。

Mirax 還集成了監控功能，包括持續鍵盤記錄和收集鎖屏詳細資訊，例如 PIN 碼結構和生物識別資訊。這使得攻擊者能夠在不引起懷疑的情況下收集憑證和個人資訊。

社會工程驅動分銷

這些攻擊活動利用社會工程學手段大規模接觸受害者。惡意廣告推廣非法流媒體應用程式，誘導使用者從官方應用商店以外的渠道下載軟體。

分銷鏈的關鍵要素包括：

• 社交媒體廣告用於觸達大量受眾

• 偽裝成 IPTV 或流媒體應用程式的投放器

• 託管在 GitHub 上的惡意軟體，頻繁更新

• 旨在規避自動分析的裝置檢查

安裝完成後，該惡意軟體會執行多階段流程，解密隱藏的有效載荷並透過 WebSocket 建立通訊通道。這些通道使攻擊者能夠遠端控制裝置並竊取資料。

代理功能擴大了攻擊潛力

Mirax 的一大特色是能夠將受感染的裝置轉換為住宅代理節點。這使得攻擊者能夠透過合法的 IP 地址路由惡意流量，從而繞過地理限制和欺詐檢測系統。

此功能將惡意軟體的作用擴充到金融盜竊之外。受感染的裝置可用作更廣泛的網路犯罪活動的基礎設施，包括賬戶盜用 (ATO) 和匿名網路攻擊。

Cleafy 表示，Mirax 反映了移動威脅領域更廣泛的演變趨勢，即攻擊工具正變得更加模組化和商業化。儘管目前的攻擊活動主要集中在西班牙，但分析師警告稱，隨著攻擊者不斷改進策略，該惡意軟體的影響範圍可能會擴大。