{"id":547,"date":"2026-04-14T12:44:41","date_gmt":"2026-04-14T12:44:41","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/mirax-android-rat-convierte-los-dispositivos-en-proxy-socks5-y-llega-a-220-000-a-traves-de-metaanuncios-cyberdefensa-mx\/"},"modified":"2026-04-14T12:44:41","modified_gmt":"2026-04-14T12:44:41","slug":"mirax-android-rat-convierte-los-dispositivos-en-proxy-socks5-y-llega-a-220-000-a-traves-de-metaanuncios-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/14\/mirax-android-rat-convierte-los-dispositivos-en-proxy-socks5-y-llega-a-220-000-a-traves-de-metaanuncios-cyberdefensa-mx\/","title":{"rendered":"Mirax Android RAT convierte los dispositivos en proxy SOCKS5 y llega a 220.000 a trav\u00e9s de metaanuncios \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un incipiente troyano de acceso remoto para Android llamado mirax<\/strong> Se ha observado que se dirige activamente a pa\u00edses de habla hispana, con campa\u00f1as que llegan a m\u00e1s de 220.000 cuentas en Facebook, Instagram, Messenger y Threads a trav\u00e9s de anuncios en Meta.<\/p>\n

\u00abMirax integra capacidades avanzadas de troyano de acceso remoto (RAT), lo que permite a los actores de amenazas interactuar completamente con los dispositivos comprometidos en tiempo real\u00bb, dijo la empresa italiana de prevenci\u00f3n de fraude en l\u00ednea Cleafy. dicho<\/a>.<\/p>\n

\u00abM\u00e1s all\u00e1 del comportamiento tradicional de RAT, Mirax mejora su valor operativo al convertir los dispositivos infectados en nodos proxy residenciales<\/a>. Aprovechando el soporte del protocolo SOCKS5 y la multiplexaci\u00f3n Yamux, establece canales proxy persistentes que permiten a los atacantes enrutar su tr\u00e1fico a trav\u00e9s de la direcci\u00f3n IP real de la v\u00edctima\u00bb.<\/p>\n

Los detalles de Mirax surgieron por primera vez el mes pasado cuando KrakenLabs de Outpost24 revel\u00f3 que un actor de amenazas llamado \u00abMirax Bot\u00bb hab\u00eda estado anunciando una oferta privada de malware como servicio (MaaS) en foros clandestinos por 2.500 d\u00f3lares por una suscripci\u00f3n de tres meses. Tambi\u00e9n est\u00e1 disponible por $ 1,750 por mes una variante liviana que elimina ciertas funciones como el proxy y la capacidad de omitir Google Play Protect usando un cifrado.<\/p>\n

Al igual que otros programas maliciosos de Android, Mirax admite la capacidad de capturar pulsaciones de teclas, robar fotos, recopilar detalles de la pantalla de bloqueo, ejecutar comandos, navegar por la interfaz de usuario y monitorear la actividad del usuario en el dispositivo comprometido. Tambi\u00e9n puede recuperar din\u00e1micamente p\u00e1ginas HTML superpuestas desde un servidor de comando y control (C2) para representarlas en aplicaciones leg\u00edtimas para el robo de credenciales.<\/p>\n

La incorporaci\u00f3n de un proxy SOCKS, por otro lado, es una caracter\u00edstica relativamente menos conocida que lo distingue del comportamiento RAT convencional. La botnet proxy ofrece varias ventajas porque permite a los actores de amenazas eludir las restricciones basadas en la geolocalizaci\u00f3n, evadir los sistemas de detecci\u00f3n de fraude y realizar apropiaciones de cuentas o fraudes en transacciones bajo la apariencia de un mayor anonimato y legitimidad.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abA diferencia de las ofertas t\u00edpicas de MaaS, Mirax se distribuye a trav\u00e9s de un modelo exclusivo y altamente controlado, limitado a un peque\u00f1o n\u00famero de afiliados\u00bb, dijeron los investigadores Alberto Giust, Alessandro Strino y Federico Valentini. \u00abEl acceso parece tener prioridad para los actores de habla rusa con reputaci\u00f3n establecida en las comunidades clandestinas, lo que indica un esfuerzo deliberado para mantener la seguridad operativa y la eficacia de la campa\u00f1a\u00bb.<\/p>\n

Las cadenas de ataque que distribuyen el malware utilizan metaanuncios para promocionar p\u00e1ginas web de aplicaciones de cuentagotas, enga\u00f1ando a los usuarios desprevenidos para que las descarguen. Se han observado hasta seis anuncios. publicidad activa<\/a> un servicio de streaming con acceso gratuito a deportes y pel\u00edculas en vivo. De ellos, cinco anuncios est\u00e1n dirigidos a usuarios de Espa\u00f1a. Uno de los anuncios, que comenz\u00f3 a publicarse el 6 de abril de 2026, tiene un alcance de 190.987 cuentas.<\/p>\n

\"\"<\/a><\/div>\n

Las URL de la aplicaci\u00f3n cuentagotas implementan una serie de comprobaciones para garantizar que se acceda a ellas desde dispositivos m\u00f3viles y para evitar que los escaneos autom\u00e1ticos revelen su verdadero color. Los nombres de las aplicaciones maliciosas se enumeran a continuaci\u00f3n:<\/p>\n