資安研究機構 Cleafy 近日發布警告,揭露一款
名為 Mirax 的新型 Android 銀行木馬正在歐洲迅速擴散。該惡意程式不僅具備遠端存取功能,還能將受害者手機轉化為住宅代理節點,進而擴大攻擊範圍與影響力。
瞄準西語系用戶 已波及逾 20 萬帳號
根據 Cleafy 的分析報告,
Mirax 目前主要鎖定西班牙語系用戶,並透過社群媒體廣告投放惡意宣傳,已知受影響帳號超過 20 萬個。研究人員指出,Mirax 代表 Android 惡意程式在開發與部署方式上的一次重要轉變。
與過去常見的威脅不同,Mirax 採用受限制的惡意程式即服務(MaaS,Malware-as-a-Service)模式運作,僅向少數特定合作夥伴開放使用權限。這種刻意收縮的封閉式架構,目的在於降低曝光風險、維持行動安全性,並提升每次攻擊活動的成效,同時也讓資安人員更難追蹤其擴散路徑。
即時掌控裝置 動態載入覆蓋層竊取資料
在技術層面,Mirax 的功能完整且具高度威脅性。攻擊者可透過該惡意程式即時控制受感染裝置,執行指令、監控使用者活動,並在合法應用程式上部署假冒的覆蓋層介面,以誘導使用者輸入敏感資訊。這些覆蓋層並非預先內建,而是由指令與控制伺服器(C2)動態下發,使傳統以特徵碼為主的偵測與封鎖更難奏效。
此外,Mirax 也整合多種監控能力,包括持續性的鍵盤側錄,以及鎖定畫面資訊擷取,例如 PIN 碼結構與生物辨識使用狀態。攻擊者可在不易引起用戶警覺的情況下,逐步蒐集帳號憑證與個人資訊。
一旦裝置遭到感染,惡意程式便會啟動多階段安裝流程,先解密隱藏的惡意酬載,再透過 WebSocket 建立與 C2 伺服器的通訊通道,以支援遠端操控與資料回傳。
社交工程手法為主要傳播媒介
在散布方式上,
Mirax 的攻擊活動高度仰賴社交工程手法大規模接觸潛在受害者。攻擊者在社群媒體上投放廣告,宣傳所謂的非法串流媒體應用程式,誘使用戶從官方應用程式商店以外的管道下載安裝。
整個散布鏈的運作環節包含以社群媒體廣告觸及大量用戶、以假冒的 IPTV 或串流應用程式作為植入器、將惡意程式託管於 GitHub 上並頻繁更新,以及在安裝前執行裝置環境檢查以規避自動化分析。
代理功能使攻擊潛力大幅延伸
Mirax 最值得關注的技術特點之一,在於其能將受感染裝置轉化為住宅代理節點。透
過這項功能,攻擊者可將惡意流量經由真實用戶的 IP 位址進行路由,藉此繞過地理位置限制與金融詐欺偵測系統。
這使 Mirax 的定位遠超出單純的銀行木馬範疇。受害裝置可被作為基礎設施,用於更廣泛的網路犯罪活動,包括帳號接管攻擊(ATO)以及匿名化網路攻擊,讓受害者在不知情的情況下成為攻擊行動的中間跳板。
Cleafy 研究人員表示,儘管目前攻擊活動集中於西班牙,但隨著攻擊者持續優化策略,Mirax 的擴散範圍極可能進一步擴大。
防護建議
面對此類威脅,建議用戶與企業採取以下防護措施:
- 僅從 Google Play Store 等官方管道下載應用程式,避免安裝來路不明的 APK 檔案
- 對社群媒體上宣傳免費串流或 IPTV 服務的廣告保持高度警戒
- 定期檢查裝置上已安裝的應用程式權限,特別留意要求無障礙服務的應用程式
- 啟用 Google Play Protect 等內建防護機制並保持更新
- 企業應部署行動裝置管理(MDM)解決方案,監控異常流量行為