Wenn das eigene Handy zum Tatwerkzeug wird
Die Bedrohungslandschaft für mobile Geräte macht einen bedenklichen Wendepunkt durch. Während klassische Android-Trojaner bisher primär darauf abzielten, sensible Daten wie Bankzugänge oder Passwörter abzugreifen, geht die neue Malware namens Mirax einen Schritt weiter. Sie verwandelt infizierte Smartphones nicht nur in überwachbare Fernbedienungen, sondern knotet sie aktiv in ein Botnet ein, das als illegales Proxy-Netzwerk dient.
Laut einem Bericht des italienischen Betrugsschutz-Unternehmens Cleafy nutzt Mirax das SOCKS5-Protokoll in Kombination mit Yamux-Multiplexing, um persistente Proxy-Kanäle aufzubauen. Das bedeutet: Angreifer können ihren Datenverkehr durch die reale IP-Adresse des Opfers leiten. Für Cyberkriminelle ist das ein Goldesel. Einerseits umgehen sie so Geoblocking und Geofencing, andererseits tarnen sie ihre kriminellen Aktivitäten – etwa Account-Übernahmen oder Transaktionsbetrug – als den legitimen Verkehr des ahnungslosen Smartphone-Nutzers.
Die Schwachstelle: Meta-Werbeplattformen
Besonders alarmierend ist die Verbreitungsmethode von Mirax. Die Malware wird nicht über dubiose Foren oder gehackte Webseiten verbreitet, sondern direkt über die Werbeplattformen von Meta. Insgesamt erreichten die Kampagnen mehr als 220.000 Konten auf Facebook, Instagram, Messenger und Threads.
Die Täter schalteten Anzeigen, die kostenlosen Zugang zu Live-Sportübertragungen und Filmen versprachen – ein klassischer Köder. Allein eine Anzeige, die am 6. April 2026 startete, erreichte fast 191.000 spanischsprachige Nutzer. Dass Meta derartig massenhafte Schadsoftware-Kampagnen auf seiner Plattform zulässt, wirft einmal mehr ernsthafte Fragen nach der Wirksamkeit der internen Prüfmechanismen auf. Offensichtlich reichen die automatisierten Checks nicht aus, um gut getarnte Dropper-Apps zu erkennen, bevor sie großen Schaden anrichten.
Technische Raffinesse und Exklusivität
Wer auf die Anzeigen klickt, landet auf Webseiten, die das Herunterladen einer App namens StreamTV (oder ähnlich) anbieten. Die Seiten prüfen dabei penibel, ob der Zugriff von einem mobilen Gerät erfolgt, um automatisierte Sicherheits-Scanner abzuwehren. Die eigentlichen APK-Dateien werden ausgerechnet auf GitHub gehostet – ein cleverer Schachzug, da GitHub-Traffic in Unternehmensnetzwerken selten blockiert wird.
Nach der Installation fordert der Dropper die Erlaubnis zur Installation aus unbekannten Quellen an und startet einen mehrstufigen Entschlüsselungsprozess, um die finale Malware – etwa den Video-Player "Reproductor de video" – auf das Gerät zu schmuggeln. Um sich vor Analysen zu schützen, können die Betreiber zwischen zwei Cryptern wählen: Virbox oder Golden Crypt. Letzterer ist sogar in der Lage, die Schutzfunktion Google Play Protect zu umgehen.
Ist die Malware aktiv, fordert sie Zugang zu den Accessibility-Diensten an. Eine Fake-Fehlermeldung tarnt die Installation, während Mirax im Hintergrund loslegt: Es fängt Tastatureingaben ab, stiehlt Fotos, überwacht den Sperrbildschirm und nutzt HTML-Overlays, um Phishing-Seiten über echte Apps zu legen.
Für die Kommunikation nutzt Mirax gleich drei bidirektionale WebSocket-Kanäle:
- Port 8443: Remote-Zugriff und Befehlsausführung
- Port 8444: Remote-Streaming und Datenexfiltration
- Port 8445 (oder Custom): Der SOCKS5-Proxy-Betrieb
Interessant ist auch das Geschäftsmodell. Mirax wird als Malware-as-a-Service (MaaS) angeboten, aber bewusst exklusiv. Ein Dreimonatsabo kostet 2.500 Dollar, eine leichtgewichtige Variante 1.750 Dollar im Monat. Die Zugänge werden bevorzugt an russischsprachige Akteure mit gutem Ruf in der Untergrund-Community vergeben. Der Verzicht auf Masse zugunsten von Operational Security (OpSec) zeigt, wie sehr sich der Markt professionalisiert hat.
Ein breiterer Trend
Die Konvergenz von RAT- und Proxy-Fähigkeiten, wie Cleafy sie bei Mirax beobachtet, ist kein Einzelfall, sondern Teil eines breiteren Trends. Historisch gesehen war der Missbrauch von Proxys meist auf kompromittierte IoT-Geräte oder billige Android-Hardware wie Smart-TVs beschränkt. Nun ziehen vollwertige Banking-Trojaner nach. Das verdoppelt den monetären Wert jeder einzelnen Infektion: Das Gerät wird nicht nur einmalig ausgeraubt, sondern dient als dauerhafte Infrastruktur für weitere Straftaten.
Passend dazu berichtet Breakglass Intelligence von einem weiteren Android-RAT namens ASO RAT, der über gefälschte PDF-Reader und syrische Regierungs-Apps verbreitet wird. Auch hier geht es um umfassende Kontrolle – von SMS-Interzeption über GPS-Tracking bis hin zu DDoS-Fähigkeiten. Die Zielgruppe sind hier offenbar Personen mit Interesse an syrischen Militär- oder Regierungsangelegenheiten, was auf eine gezielte Spionage-Aktion hindeutet.
Fazit
Mirax ist ein Paradebeispiel für die Evolution der mobilen Bedrohungslandschaft. Die Zeiten, in denen Malware nur Daten stahl, sind endgültig vorbei. Heute werden Smartphones zu vollwertigen Knotenpunkten in der kriminellen Infrastruktur. Nutzer müssen sich bewusst sein, dass das Herunterladen von Apps – insbesondere wenn sie über Social-Media-Werbung beworben werden – massive Risiken birgt. Und Plattformbetreiber wie Meta stehen in der Pflicht, ihre Werbenetzwerke dringend besser abzusichern, denn aktuell fungieren sie als unfreiwillige Türsteher für hochprofessionelle Cyberkriminelle.
Quelle: The Hacker News
