Um malware para Android chamado Mirax é distribuído por meio de anúncios pagos no Facebook, Instagram, Messenger e Threads, atingindo mais de 220 mil contas em países de língua espanhola.
A análise foi publicada pela empresa italiana de prevenção a fraudes Cleafy, que detalhou as capacidades do trojan e a infraestrutura de campanha ativa desde pelo menos o início de abril de 2026.
Mirax combina acesso remoto com rede de proxies residenciais
O Mirax é classificado como um trojan de acesso remoto (RAT), um tipo de malware que permite ao atacante controlar o dispositivo comprometido em tempo real.
Além das funções típicas da categoria, como captura de teclas digitadas, roubo de fotos, coleta de credenciais via sobreposições falsas sobre aplicativos legítimos e execução remota de comandos, o Mirax incorpora uma capacidade menos comum: transformar o celular infectado em um nó de proxy residencial.
Basicamente, isso significa que os atacantes conseguem rotear o próprio tráfego pelo endereço IP real da vítima. O malware usa o protocolo SOCKS5 combinado com multiplexação Yamux para manter canais persistentes.
Isso permite contornar bloqueios geográficos, escapar de sistemas de detecção de fraude e realizar tomadas de conta ou transações fraudulentas com aparência de maior legitimidade.
Serviço vendido por assinatura em fóruns clandestinos
O Mirax opera no modelo MaaS — Malware-as-a-Service, ou malware como serviço — e foi documentado pela primeira vez pelo KrakenLabs da Outpost24 no mês passado. O operador, identificado pelo apelido "Mirax Bot", anuncia o produto em fóruns underground por US$ 2.500 para uma assinatura trimestral.
Uma variante simplificada, sem o módulo de proxy e sem o crypter para burlar o Google Play Protect, está disponível por US$ 1.750 mensais.
O acesso à plataforma é deliberadamente restrito a um número pequeno de afiliados. Segundo os pesquisadores Alberto Giust, Alessandro Strino e Federico Valentini, da Cleafy, o modelo prioriza atores de língua russa com reputação estabelecida em comunidades clandestinas, o que indica uma preocupação ativa com segurança operacional.
Anúncios no Meta promovem falso serviço de streaming
A cadeia de infecção começa com anúncios veiculados na plataforma Meta que promovem um suposto serviço de streaming com acesso gratuito a esportes ao vivo e filmes. Seis anúncios foram identificados como ativos. Cinco deles miram usuários na Espanha. Um dos anúncios, colocado no ar em 6 de abril de 2026, acumulou alcance de quase 191 mil contas.
Os links nos anúncios levam a páginas que distribuem um aplicativo dropper — isso porque o Mirax não é instalado diretamente, mas por meio de um aplicativo intermediário que deposita o payload final no dispositivo. As URLs implementam verificações para confirmar que o acesso vem de dispositivo móvel e para bloquear varreduras automatizadas.
Os aplicativos identificados na campanha são:
- StreamTV (pacotes org.lgvvfj.pluscqpuj ou org.dawme.secure5ny) — o dropper;
- Reproductor de video (pacotes org.yjeiwd.plusdc71 ou org.azgaw.managergst1d) — o Mirax propriamente dito.
Os arquivos APK maliciosos estão hospedados no GitHub. O painel de construção do malware oferece duas opções de crypter — Virbox e Golden Crypt — para dificultar a análise do APK.
Instalação multi-estágio oculta análise de segurança
Após ser instalado, o dropper solicita que o usuário habilite a instalação de fontes desconhecidas para implantar o malware. A extração do payload final é descrita pela Cleafy como uma operação multi-estágio sofisticada, projetada para escapar de ferramentas de análise de segurança e sandboxes automatizados.
O Mirax se disfarça de utilitário de reprodução de vídeo e pede ao usuário que ative os serviços de acessibilidade do Android. Isso permite que o malware rode em segundo plano, exiba uma mensagem de erro falsa dizendo que a instalação falhou e sirva sobreposições falsas para encobrir atividades maliciosas.
A comunicação com o servidor de comando e controle (C2) ocorre por três canais WebSocket simultâneos. Primeiro, a porta 8443 gerencia o acesso remoto e execução de comandos; a porta 8444 cuida do streaming remoto e exfiltração de dados; e a porta 8445 estabelece o canal de proxy residencial via SOCKS5.
RAT árabe com foco em usuários sírios é identificado em paralelo
Em contexto relacionado, a empresa Breakglass Intelligence documentou outro RAT para Android chamado ASO RAT, distribuído por aplicativos disfarçados de leitores de PDF e ferramentas do governo sírio — entre eles, SyriaDefenseMap e GovLens.
O malware oferece acesso completo ao dispositivo, incluindo interceptação de SMS, acesso à câmera, rastreamento GPS, registro de chamadas, exfiltração de arquivos e capacidade de lançar ataques DDoS a partir dos aparelhos infectados.
O painel de controle do ASO RAT suporta múltiplos operadores com controle de acesso por função, o que sugere operação no modelo RaaS — RAT-as-a-Service — ou uso por uma equipe com divisão de tarefas. As iscas com temática síria indicam que a campanha pode ter perfil de vigilância direcionada a indivíduos com interesse em assuntos militares ou de governança na Síria.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.