Für die Verbreitung nutzen die Täter Websites, die IPTV-Dienste bewerben. Diese leiten die Besucher auf Dropper weiter, die auf GitHub gehostet werden. Da keine der schädlichen Apps über Google Play angeboten wird, ist die Ausführung auf das Sideloading von APK-Dateien angewiesen: Die Opfer aktivieren die Installation aus unbekannten Quellen, um die gefälschte IPTV-Anwendung zu starten – und lösen damit einen mehrstufigen Infektionsprozess aus, der Schutzmechanismen umgehen soll.
Die eigentliche Schadlast wird mit der Technik Golden Encryption (auch als Golden Crypt bekannt) gepackt. Der Schadcode versteckt sich in einer verschlüsselten Dalvik-Executable-Datei (.dex) und wird während der Installation mithilfe der Stromchiffre RC4 und eines fest einprogrammierten Schlüssels entschlüsselt.
Funktional bietet Mirax ein breites Spektrum: Über das Einblenden gefälschter Overlays und manipulierter Benachrichtigungen lassen sich Zugangsdaten abgreifen. Zudem können Angreifer den Bildschirm in Echtzeit einsehen, das Gerät fernsteuern und navigieren, installierte Anwendungen verwalten sowie Bilder und Texte ausleiten.
Hinzu kommt die Proxy-Funktion: Die Betreiber können eine SOCKS5-Verbindung aufbauen und den Datenverkehr über das infizierte Gerät leiten. Der Proxy nutzt dabei Multiplexing über einen WebSocket-basierten Kanal mit zwei oder drei separaten WebSocket-Verbindungen, der mehrere parallele Verbindungen unterstützt.
Cleafy ordnet diese Fähigkeit als Novum ein. „Über den allgemeinen Aufstieg von Residential-Proxys im Kontext von IoT-Geräten hinaus stellt die Einführung dieser Funktion in eine RAT-Malware wie Mirax eine Neuheit dar, die Aufmerksamkeit verdient. Auch wenn die Analyse keinen tatsächlichen Einsatz dieser Funktion ergab, lohnt es sich, über die Beweggründe für ihre Aufnahme in einen RAT nachzudenken – und über die Folgen für stark exponierte Branchen wie Banken und vergleichbare Institutionen“, so das Unternehmen.
