MalwareHackerangriffeCyberkriminalität

Mirax-RAT: Neue Android-Malware bedroht europäische Nutzer über gefälschte Anzeigen

Mirax-RAT: Neue Android-Malware bedroht europäische Nutzer über gefälschte Anzeigen
Zusammenfassung

Ein neuer, hochentwickelter Remote-Access-Trojaner namens Mirax bedroht Android-Nutzer in ganz Europa. Seit Dezember 2025 wird die Malware auf unterirdischen Foren angepriesen und wird von einer kleinen Gruppe russischsprachiger Cyberkrimineller als Malware-as-a-Service vertrieben. Die Bedrohung verbreitet sich über gefälschte Anzeigen auf Meta-Plattformen wie Facebook und Instagram, über die bereits mehr als 200.000 Nutzer erreicht wurden. Besonders bemerkenswert ist die doppelte Funktionalität: Neben klassischen RAT-Fähigkeiten – wie Echtzeit-Bildschirmüberwachung, Gerätekontrolle und Datenexfiltration – kann Mirax infizierte Smartphones in Residential-Proxy-Knoten verwandeln. Die Malware zielt auf Nutzer ab, die vermeintliche IPTV-Anwendungen installieren und dabei das Sideloading von APK-Dateien ermöglichen. Das Risiko für deutsche Nutzer und Unternehmen ist erheblich, da Mirax nicht nur Privatpersonen gefährdet, sondern laut Sicherheitsexperten auch potenzielle Ziele im Finanz- und Bankensektor darstellt. Besonders besorgniserregend ist die Integration der Proxy-Funktionalität, die es Angreifern ermöglicht, infizierte Geräte für großflächige Anschläge zu missbrauchen.

Die Sicherheitsfirma Cleafy hat Mirax als außergewöhnlich ausgefeilten Android-Trojaner dokumentiert, der als Malware-as-a-Service (MaaS) über gestaffelte Abonnementpläne an eine begrenzte Anzahl von Affiliates verteilt wird — überwiegend russischsprachigen Cyberkriminellen.

Verbreitungsstrategie über Meta-Plattformen

Das Infektionsvehikel ist ausgeklügelt: Die Angreifer schalten Werbeanzeigen auf den Meta-Plattformen Facebook, Instagram und Messenger, die auf gefälschte IPTV-Anwendungsseiten verweisen. Diese Seiten leiten zu Malware-Dropper weiter, die auf GitHub gehostet werden. Da Mirax nicht über Google Play verbreitet wird, müssen Nutzer zunächst die Installation aus unbekannten Quellen aktivieren. Der Trick funktioniert: Nach Cleafys Analyse haben mehr als 200.000 Nutzer die bösartigen Anzeigen zu sehen bekommen.

Technische Analyse der Malware

Mirax nutzt fortgeschrittene Verschleierungstechniken. Die Payload wird mit Golden Encryption (auch Golden Crypt genannt) gepackt und versteckt den bösartigen Code in einer verschlüsselten Dalvik Executable (.dex)-Datei. Der RC4-Stream-Cipher mit hardcoded Schlüssel entschlüsselt den Code erst während der Installation, was viele Sicherheitsmechanismen umgehen soll.

Das Trojaner-Arsenal ist beeindruckend: Mirax kann Bildschirminhalte in Echtzeit anzeigen, Geräte vollständig fernsteuern, Anwendungen verwalten, sowie Bilder und Texte exfiltrieren. Über Overlay- und Notification-Injection werden Nutzer-Zugangsdaten gestohlen.

Die Proxy-Funktionalität als Novum

Besonders bemerkenswert ist eine weitere Kapazität: Mirax kann infizierte Geräte in Residential-Proxy-Knoten umwandeln. Dabei wird ein SOCKS5-Proxy mit WebSocket-basiertem Multiplexing installiert, das mehrere gleichzeitige Verbindungen unterstützt. Cleafy warnt, dass dies eine Neuheit im Bereich Android-RATs darstellt und erhebliche Implikationen für sensible Sektoren wie Banken haben könnte — sowohl für Betrugsschutz als auch für Sicherheitsinfrastrukturen.

Risiken für deutsche Nutzer und Unternehmen

Als europäisches Zielgebiet sind auch deutsche Nutzer potenzielle Opfer. Besonders problematisch ist die Verbreitungsmethode über legitim wirkende Social-Media-Werbung. Unternehmen sollten ihre Mitarbeiter für diese Gefahr sensibilisieren, insbesondere beim Download von Anwendungen außerhalb offizieller App-Stores. Die Fähigkeit von Mirax, Geräte als Proxy-Knoten zu missbrauchen, könnte zudem für organisierte Cyberkriminalität und gezielte Hackerangriffe gegen deutsche Institutionen instrumentalisiert werden.

Ähnliche Artikel