Um malware comercializado como um serviço em fóruns clandestinos oferece acesso remoto total e a habilidade de rotear tráfego criminoso pelo IP da vítima. Uma campanha em andamento na Espanha já afetou quase 191 mil contas com apenas um anúncio.
Denominado Mirax, um malware para Android está sendo promovido através de anúncios pagos em plataformas como Facebook, Instagram, Messenger e Threads, alcançando mais de 220 mil contas em países hispanofalantes.
Essa análise foi elaborada pela empresa italiana de prevenção a fraudes Cleafy, que explicou as funcionalidades do trojan e a estrutura da campanha, que se mantém ativa desde pelo menos o início de abril de 2026.
Mirax: acesso remoto com rede de proxies residenciais
Classificado como um trojan de acesso remoto (RAT), o Mirax permite que um atacante tenha controle total sobre dispositivos comprometidos em tempo real.
Além das funções típicas deste tipo de malware, como registro de teclas, roubo de fotos, coleta de credenciais através de sobreposições falsas e execução de comandos remotamente, o Mirax possui uma capacidade mais rara: transformar o dispositivo infectado em um nó de proxy residencial.
Isso possibilita aos atacantes rotear seu tráfego pelo endereço IP da vítima. O malware utiliza o protocolo SOCKS5 junto com multiplexação Yamux para manter canais persistentes.
Deste modo, ele consegue driblar restrições geográficas, evitar sistemas de detecção de fraudes e realizar ações fraudulentas ou transações que aparentam ser legítimas.
Serviço disponível por assinatura em fóruns deste tipo
O Mirax opera segundo o modelo MaaS (Malware-as-a-Service) e foi documentado pela primeira vez pelo KrakenLabs da Outpost24 no mês passado. O operador, conhecido pelo apelido “Mirax Bot”, oferece o serviço em fóruns underground por US$ 2.500 para uma assinatura trimestral.
Há também uma versão simplificada, sem a funcionalidade de proxy e sem o crypter para contornar o Google Play Protect, disponível por US$ 1.750 ao mês.
O acesso à plataforma é restrito a um número limitado de afiliados. Pesquisadores da Cleafy, Alberto Giust, Alessandro Strino e Federico Valentini, observam que o modelo foca em atores de língua russa com boa reputação em comunidades clandestinas, indicando uma preocupação com segurança operacional.
Anúncios na Meta promovem um falso serviço de streaming
A infecção tem início com anúncios na Meta que promovem um serviço de streaming supostamente gratuito para esportes e filmes. Seis anúncios ativos foram identificados, cinco deles voltados para usuários na Espanha. Um deles, publicado em 6 de abril de 2026, alcançou quase 191 mil contas.
Os links presentes nos anúncios direcionam para páginas que distribuem um aplicativo dropper — o Mirax não é instalado diretamente, mas sim por meio de um aplicativo intermediário que carrega o payload final. As URLs implementam verificações para garantir que o acesso se dá por meio de dispositivos móveis e bloquear varreduras automatizadas.
Os aplicativos envolvidos na campanha são:
- StreamTV (pacotes org.lgvvfj.pluscqpuj ou org.dawme.secure5ny) — o dropper;
- Reproductor de video (pacotes org.yjeiwd.plusdc71 ou org.azgaw.managergst1d) — o Mirax em si.
Os arquivos APK maliciosos estão hospedados no GitHub. O painel de configuração do malware oferece duas opções de crypter — Virbox e Golden Crypt — para dificultar a análise dos APKs.
Instalação complexa para escapar de análises de segurança
Uma vez instalado, o dropper solicita que o usuário ative a instalação de fontes desconhecidas para poder implantar o malware. De acordo com a Cleafy, a extração do payload final é uma operação multi-estágio sofisticada, concebida para escapar de ferramentas de análise de segurança automáticas.
O Mirax se apresenta como um reprodutor de vídeo e instrui o usuário a ativar os serviços de acessibilidade do Android. Isso permite que o malware funcione em segundo plano, exiba mensagens de erro falsificadas e faça sobreposições para encobrir atividades maliciosas.
A comunicação com o servidor de comando e controle (C2) ocorre por três canais WebSocket simultâneos. A porta 8443 gerencia o acesso remoto; a porta 8444 cuida do streaming remoto e exfiltração de dados; e a porta 8445 estabelece o canal de proxy residencial via SOCKS5.
Outro RAT identificado com foco em usuários sírios
Em uma análise relacionada, a empresa Breakglass Intelligence documentou um outro RAT para Android chamado ASO RAT, circulando em aplicativos disfarçados de leitores de PDF e ferramentas associadas ao governo sírio, como SyriaDefenseMap e GovLens.
Esse malware oferece acesso integral ao dispositivo, incluindo interceptação de mensagens SMS, acesso à câmera e ao GPS, gravação de chamadas, exfiltração de arquivos e a habilidade de realizar ataques DDoS a partir dos aparelhos infectados.
O painel de controle do ASO RAT permite que múltiplos operadores tenham acesso com funções específicas, indicando uma operação no modelo RaaS (RAT-as-a-Service) ou gerida por uma equipe com divisão de funções. As iscas de temática síria sugerem que a campanha pode ter um perfil de vigilância sobre indivíduos interessados em questões militares ou de governança na Síria.
Acompanhe a TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.