Laut den Cleafy-Forschern Alberto Giust, Alessandro Strino und Federico Valentini wird Mirax nicht wie üblich breit als Malware-as-a-Service vertrieben, sondern über ein streng kontrolliertes und exklusives Modell mit nur wenigen Partnern. Der Zugang werde bevorzugt an russischsprachige Akteure mit etabliertem Ruf in der Untergrundszene vergeben – ein bewusster Schritt, um die operative Sicherheit und Wirksamkeit der Kampagnen zu wahren.

Wie KrakenLabs zuvor berichtete, bietet der Akteur „Mirax Bot" das Angebot für 2.500 US-Dollar bei einer Laufzeit von drei Monaten an. Daneben gibt es für 1.750 US-Dollar pro Monat eine abgespeckte Variante ohne den Proxy und ohne die Fähigkeit, Google Play Protect mithilfe eines Crypters zu umgehen.

Funktional ähnelt Mirax anderer Android-Schadsoftware: Die Malware kann Tastatureingaben mitschneiden, Fotos stehlen, Sperrbildschirm-Daten sammeln, Befehle ausführen, die Benutzeroberfläche steuern und die Aktivität des Nutzers überwachen. Zudem lädt sie dynamisch HTML-Overlay-Seiten von einem Command-and-Control-Server (C2) nach, die über legitime Apps gelegt werden, um Zugangsdaten abzugreifen.

Verbreitet wird die Schadsoftware über Meta-Anzeigen, die auf Webseiten von Dropper-Apps verweisen und Nutzer zum Download verleiten. Beobachtet wurden bis zu sechs Anzeigen, die einen Streamingdienst mit kostenlosem Zugang zu Live-Sport und Filmen bewerben; fünf davon richten sich an Nutzer in Spanien. Eine der Anzeigen, die am 6. April 2026 anlief, erreichte 190.987 Konten. Die URLs der Dropper-Apps prüfen unter anderem, ob der Zugriff von einem Mobilgerät erfolgt, um automatisierte Scans von ihrem wahren Zweck abzuhalten.

Auffällig ist, dass die schädlichen Dropper-APK-Dateien über GitHub gehostet werden. Das Builder-Panel erlaubt zudem die Wahl zwischen zwei Crypters – Virbox und Golden Crypt (auch Golden Encryption genannt) – für zusätzlichen Schutz der APK. Nach der Installation fordert der Dropper die Nutzer auf, Installationen aus unbekannten Quellen zuzulassen, um die eigentliche Malware nachzuladen. Das Extrahieren der finalen Schadkomponente beschreibt Cleafy als „ausgefeilten, mehrstufigen Vorgang", der Sicherheitsanalysen und automatisierte Sandbox-Werkzeuge umgehen soll.

Einmal installiert, gibt sich die Malware als Videowiedergabe-Hilfsprogramm aus und drängt das Opfer, die Bedienungshilfen zu aktivieren. So kann sie im Hintergrund laufen, eine gefälschte Fehlermeldung über eine angeblich gescheiterte Installation anzeigen und mit falschen Overlays ihre Aktivitäten verschleiern. Über mehrere bidirektionale C2-Kanäle steuert sie Aufgaben und schleust Daten aus.

Cleafy wertet die Verbindung von RAT- und Proxy-Funktionen als Zeichen einer breiteren Verschiebung in der Bedrohungslandschaft. Während der Missbrauch von Residential-Proxys bislang vor allem mit gekaperten IoT-Geräten und günstiger Android-Hardware wie Smart-TVs in Verbindung gebracht wurde, betten Mirax diese Funktion in einen voll ausgestatteten Banking-Trojaner ein. Das erhöhe den Geldwert jeder Infektion und erweitere zugleich den Handlungsspielraum der Angreifer, die kompromittierte Geräte nun sowohl für direkten Finanzbetrug als auch als Infrastruktur für weitere kriminelle Aktivitäten nutzen könnten.

Parallel dazu beschrieb Breakglass Intelligence einen arabischsprachigen Android-RAT namens ASO RAT, der über Apps verbreitet wird, die sich als PDF-Reader und syrische Regierungs-Apps tarnen. Laut dem Unternehmen ermöglicht die Plattform eine vollständige Übernahme des Geräts – darunter das Abfangen von SMS, Kamerazugriff, GPS-Ortung, Anrufprotokollierung, Datenexfiltration und das Auslösen von DDoS-Angriffen von Opfergeräten aus. Ein Mehrbenutzer-Panel mit rollenbasierter Zugriffssteuerung deute auf einen Betrieb als RAT-as-a-Service oder ein Mehr-Operator-Team hin. Die genauen Ziele der Kampagne sind unklar, doch syrienbezogene Köder wie SyriaDefenseMap und GovLens legen nahe, dass es sich um eine mutmaßliche Überwachungsoperation gegen Personen mit Interesse an syrischen Militär- oder Regierungsangelegenheiten handeln könnte.