Der Trojaner Mirax kombiniert mehrere gefährliche Funktionen zu einem besonders lukrativen Werkzeug für Cyberkriminelle. Neben klassischen Funktionen eines Remote-Access-Trojaners – wie Keystroke-Logging, Diebstahl von Fotos und Überwachung von Benutzeraktivitäten – verfügt Mirax über ein Feature, das ihn von herkömmlichen Android-Malware deutlich unterscheidet: die Fähigkeit, infizierte Geräte über das SOCKS5-Protokoll in ein Proxy-Netzwerk umzuwandeln.
Dies ermöglicht es Angreifern, ihre illegalen Transaktionen und Kontozugriffe hinter der echten IP-Adresse der Opfer zu verbergen. “Mirax nutzt diese Infrastruktur, um geografische Beschränkungen zu umgehen, Betrugserkennung zu eludieren und unter dem Schleier erhöhter Anonymität Kontoumsätze durchzuführen”, erläutert Cleafy. Die Möglichkeit, Geräte gleichzeitig als direktes Angriffsziel und als Infrastruktur für weitere Cyberkriminalität zu nutzen, erhöht die Rentabilität jeder Infektion erheblich.
Die Verbreitungsmethode ist ausgeklügelt: Über Meta-Anzeigen werden Nutzer auf Webseiten gelockt, die scheinbar kostenlose Streaming-Services mit Live-Sports anbieten. Mindestens sechs aktive Werbekampagnen wurden beobachtet, von denen fünf primär auf Spanien abzielten. Eine Kampagne, die am 6. April 2026 gestartet wurde, erreichte bereits knapp 191.000 Konten. Die Dropper-Apps selbst werden über GitHub gehostet und nutzen Verschlüsselungstools wie Virbox und Golden Crypt, um Sicherheitsanalysen zu erschweren.
Einmal installiert, tarnt sich Mirax als Video-Anwendung und fordert die Nutzer auf, Installation aus unbekannten Quellen zu erlauben sowie Bedienungshilfen zu aktivieren. Dies ermöglicht dem Trojaner, im Hintergrund zu operieren und sich dem Nutzer durch gefälschte Fehlermeldungen zu verbergen. Der eigentliche Payload wird in mehreren Stufen extrahiert, um Sandbox-Analyse zu umgehen.
Das Geschäftsmodell dahinter ist besorgniserregend strukturiert: Die Malware wird als Malware-as-a-Service für etwa 2.500 Euro Abo-Gebühr angeboten, mit einer Light-Version für 1.750 Euro monatlich. Der Zugang ist dabei bewusst begrenzt – primär auf russischsprachige Akteure mit etabliertem Ruf in Underground-Communities. Diese Selektivität deutet auf eine hochgradig organisierte kriminelle Operation hin, die Wert auf operative Sicherheit legt.
Experten sehen Mirax als Symptom einer breiteren Verschiebung in der Bedrohungslandschaft. Während Proxy-Missbrauch bisher mit kompromittierten IoT-Geräten assoziiert wurde, zeigt Mirax nun, wie vollwertige Banking-Trojaner mit Proxy-Funktionalität fusionieren. Für deutsche Nutzer bedeutet dies ein erhöhtes Risiko, nicht nur Opfer direkter Angriffe zu werden, sondern unwissentlich als Infrastruktur für internationale Cyberkriminalität missbraucht zu werden.