Malware para Android usa dropper fora da loja oficial, abuso de acessibilidade e canais WebSocket para controle remoto, extração de dados e proxy residencial no dispositivo infectado.
| Componente | Mirax, RAT Android distribuído por dropper APK e apresentado como ferramenta de vídeo, com recursos de controle remoto, sobreposição HTML e proxy residencial SOCKS5. |
| Vetor | Anúncios da Meta promovem páginas de aplicativos falsos de streaming; o usuário baixa um dropper, habilita instalação por fontes desconhecidas e depois é induzido a conceder serviços de acessibilidade. |
| Impacto | O dispositivo comprometido pode registrar teclas, capturar fotos, coletar detalhes da tela de bloqueio, navegar pela interface, exibir overlays para roubo de credenciais, executar comandos e encaminhar tráfego do operador pelo IP real da vítima. |
| Prioridade | Bloquear instalação fora de lojas confiáveis, revisar concessões de acessibilidade, investigar APKs com nomes de reprodutor de vídeo e procurar canais WebSocket nas portas 8443, 8444 e 8445 quando compatível com a telemetria do ambiente. |
| Artefatos | Foram citados aplicativos como Reproductor de video, com pacotes org.yjeiwd.plusdc71 ou org.azgaw.managergst1d, associados ao Mirax. |
| Infraestrutura | A campanha usa hospedagem de APKs dropper no GitHub e páginas intermediárias com verificações para acesso móvel e evasão de varreduras automatizadas. |
| Proteção | Dispositivos Android com Google Play Services contam com Google Play Protect habilitado por padrão, capaz de alertar ou bloquear versões conhecidas de aplicativos com comportamento malicioso, inclusive fora da Play Store. |
O Mirax é um RAT para Android que combina funções tradicionais de trojan bancário com a capacidade de transformar aparelhos infectados em nós de proxy residencial. A campanha observada usa anúncios da Meta para atrair usuários a páginas que imitam uma oferta de streaming com acesso gratuito a esportes ao vivo e filmes. O ponto de entrada não é a loja oficial: o usuário é conduzido ao download de um aplicativo dropper, que depois orienta a habilitação de instalação por fontes desconhecidas e prepara a entrega do payload final. A escala observada nos anúncios é relevante para a triagem defensiva: seis anúncios foram identificados ativos, cinco direcionados a usuários na Espanha, e um deles, iniciado em 6 de abril de 2026, alcançou 190.987 contas.
Depois da instalação, o malware se apresenta como utilitário de reprodução de vídeo e tenta obter permissões de acessibilidade. Essa etapa é crítica porque desloca o impacto de uma instalação suspeita para um comprometimento operacional do aparelho. Com acessibilidade ativa, o Mirax consegue permanecer em segundo plano, sobrepor telas falsas, monitorar interação do usuário e ocultar partes da atividade maliciosa por meio de mensagens enganosas, incluindo uma falsa indicação de falha na instalação. O conjunto de capacidades inclui captura de teclas, coleta de fotos, obtenção de detalhes da tela de bloqueio, execução de comandos, navegação pela interface do dispositivo e carregamento dinâmico de páginas HTML de overlay a partir de servidor de comando e controle para roubo de credenciais.
A cadeia começa com publicidade em redes sociais e páginas de dropper projetadas para reduzir exposição a análise automatizada. As URLs do dropper realizam checagens antes de revelar o conteúdo real, incluindo validações para confirmar acesso a partir de dispositivo móvel e dificultar que scanners automatizados observem o fluxo completo. Quando a vítima baixa e instala o APK inicial, o dropper solicita a permissão de instalar aplicativos de fontes desconhecidas e conduz a extração do payload final. O processo de extração é descrito como multiestágio e voltado a contornar análise de segurança e sandboxes automatizadas, o que exige que a defesa trate o evento como mais do que um simples download de APK não autorizado.
O diferencial operacional do Mirax está na junção de RAT e proxy. Além de permitir interação remota com o dispositivo em tempo real, o malware estabelece canais bidirecionais com a infraestrutura de comando e controle. Um canal WebSocket na porta 8443 é usado para gerenciar acesso remoto e execução de comandos; outro na porta 8444 atende streaming remoto e extração de dados; e um canal na porta 8445, ou em porta personalizada, configura o proxy residencial usando SOCKS5. O suporte a Yamux permite multiplexação, mantendo canais persistentes que encaminham tráfego do operador pelo endereço IP real da vítima. Isso pode ajudar o operador a aparentar origem residencial legítima, contornar restrições geográficas e dificultar sistemas antifraude baseados em reputação de rede.
A exposição principal recai sobre usuários Android que interagem com anúncios de aplicativos fora do ecossistema oficial e aceitam permissões críticas durante a instalação. O risco aumenta quando o aparelho permite fontes desconhecidas, quando o usuário concede acessibilidade a um aplicativo recém-instalado e quando controles corporativos não bloqueiam APKs de origem externa. O contexto também indica uso do GitHub para hospedar APKs dropper, o que pode confundir filtros que tratam a plataforma apenas como repositório legítimo de desenvolvimento. Não há no contexto uma lista ampla de versões Android vulneráveis, modelos específicos ou fabricantes afetados; portanto, a superfície deve ser definida pelo comportamento de instalação e permissões concedidas, não por uma versão de sistema operacional presumida.
A oferta do Mirax também aparece vinculada a um modelo privado de malware como serviço, com acesso restrito a poucos afiliados e priorização aparente de atores russófonos com reputação em comunidades clandestinas. Essa restrição não reduz o risco técnico: pelo contrário, sugere operação mais controlada, menor exposição pública de amostras e possível adaptação por afiliado. O painel de construção permite escolher entre dois crypters, Virbox e Golden Crypt, também chamado de Golden Encryption, para ampliar a proteção do APK contra análise. Há ainda uma variante mais leve que remove recursos como proxy e bypass de Google Play Protect por crypter, o que significa que a telemetria pode variar conforme o pacote entregue.
- Aparelhos Android que habilitaram instalação de aplicativos por fontes desconhecidas após interação com páginas de streaming falso.
- Dispositivos com concessão recente de serviços de acessibilidade a aplicativos que se passam por reprodutores de vídeo.
- Ambientes com tráfego WebSocket incomum para portas
8443,8444ou8445, especialmente quando originado de aparelhos móveis. - Contas expostas a overlays de login sobre aplicativos legítimos, com risco de captura de credenciais quando o usuário interage com a tela falsa.
A investigação deve começar pela linha do tempo de instalação: clique em anúncio, visita a página de download, obtenção de APK, habilitação de fontes desconhecidas, instalação do dropper, extração do payload e concessão de acessibilidade. Em dispositivos gerenciados, EDR móvel, MDM e logs de conformidade podem indicar quando uma política foi alterada para permitir instalação externa ou quando um aplicativo recebeu permissões sensíveis logo após a instalação. O nome Reproductor de video e os pacotes org.yjeiwd.plusdc71 e org.azgaw.managergst1d são artefatos úteis para busca inicial, mas não devem ser tratados como lista completa de variantes. A cadeia também pode ser mascarada por empacotamento, crypter e nomes diferentes gerados no painel.
Na rede, o sinal mais específico é a combinação de WebSocket persistente e funções separadas por porta. A porta 8443 está associada a controle remoto e comandos, a 8444 a streaming e extração de dados, e a 8445 ou porta customizada ao proxy SOCKS5. Como o uso de portas personalizadas foi citado, a caça não deve depender exclusivamente de números fixos. É mais robusto correlacionar sessões persistentes iniciadas por aplicativos móveis recém-instalados, tráfego com padrão de túnel, volume anômalo de saída para um telefone, e atividade de conta que parece vir do IP residencial do usuário em horários ou localidades incompatíveis com o comportamento normal.
- Instalação recente de APK fora da Play Store seguida de solicitação de serviços de acessibilidade.
- Aplicativo com aparência de reprodutor de vídeo exibindo erro falso de instalação ou comportamento em segundo plano sem função legítima clara.
- Canais WebSocket persistentes em portas
8443,8444,8445ou portas não usuais com comportamento de túnel. - Indícios de overlays HTML carregados dinamicamente sobre aplicativos legítimos, especialmente em fluxos de autenticação.
- Uso inesperado de banda de saída em dispositivo móvel, compatível com proxy residencial ou retransmissão de tráfego de terceiros.
A resposta deve priorizar contenção do endpoint móvel e redução do caminho de instalação. Em dispositivos corporativos, políticas de MDM devem impedir instalação por fontes desconhecidas, restringir concessão de acessibilidade a aplicativos não aprovados e alertar sobre APKs obtidos por navegador ou links publicitários. Quando houver suspeita de Mirax, a ação defensiva deve incluir isolamento do aparelho da rede corporativa, revogação de permissões sensíveis, remoção do aplicativo suspeito por processo controlado e preservação de evidências de instalação, permissões, conexões e nomes de pacote. Como há capacidade de overlay para captura de credenciais, credenciais usadas no dispositivo durante a janela de exposição devem entrar no processo de revisão e rotação conforme criticidade.
A mitigação também precisa cobrir a camada de fraude e identidade. Como o proxy SOCKS5 faz o tráfego sair pelo IP real da vítima, acessos maliciosos podem parecer compatíveis com a localização residencial do usuário e escapar de bloqueios simples por reputação de IP. Controles antifraude devem considerar sinais de dispositivo, sequência de eventos, mudanças de sessão, comportamento transacional e inconsistências de interação, não apenas origem de rede. Para usuários finais, a orientação defensiva deve ser objetiva: evitar APKs oferecidos por anúncios, desconfiar de aplicativos que exigem acessibilidade sem justificativa, manter Google Play Protect ativo e tratar mensagens de falha de instalação seguidas de atividade em segundo plano como sinal de risco.
- Aplicar política de bloqueio para instalação de APKs por fontes desconhecidas em dispositivos gerenciados.
- Restringir e auditar permissões de acessibilidade, com alerta para concessões feitas a aplicativos recém-instalados.
- Procurar e remover pacotes associados, preservando metadados de instalação e conexões para análise posterior.
- Revisar autenticações e transações realizadas a partir do aparelho durante o período suspeito, considerando a possibilidade de overlays e proxy residencial.
- Manter Google Play Protect ativo em dispositivos com Google Play Services e validar se alertas ou bloqueios foram registrados para aplicativos com comportamento malicioso conhecido.
0 Comentários