Mirax: Nuevo troyano RAT para Android amenaza a usuarios de habla hispana a través de Meta

1. Introducción

En las últimas semanas, se ha detectado una campaña activa de distribución de malware que utiliza el troyano Mirax, una nueva amenaza de acceso remoto (RAT) dirigida específicamente a usuarios de habla hispana. Este malware se propaga mediante anuncios en plataformas de Meta (Facebook, Instagram, Messenger y Threads), alcanzando a más de 220.000 cuentas según los datos recopilados por los equipos de threat intelligence. El vector de ataque aprovecha la popularidad de estas redes sociales en países de habla hispana, incrementando así su alcance y efectividad.

2. Contexto del Incidente

Mirax representa una evolución significativa dentro del ecosistema de malware para Android. Los actores detrás de esta campaña han enfocado sus esfuerzos en usuarios residentes en España y Latinoamérica, utilizando técnicas de ingeniería social y anuncios patrocinados para maximizar la distribución del troyano. Estos anuncios suelen suplantar aplicaciones legítimas o servicios populares, incentivando a las víctimas a descargar aplicaciones maliciosas fuera de Google Play.

La campaña se ha desarrollado en paralelo con un aumento en la sofisticación de los troyanos para Android, en línea con las tendencias observadas tras la entrada en vigor de normativas más estrictas como la GDPR y la inminente aplicación de la NIS2, que exigen mayor protección de datos y respuesta ante incidentes.

3. Detalles Técnicos

El troyano Mirax integra funcionalidades avanzadas de RAT, permitiendo a los atacantes tomar el control total de dispositivos comprometidos en tiempo real. Utiliza técnicas de persistencia como el abuso de permisos de accesibilidad y la manipulación de servicios en segundo plano para evadir la detección.

– CVE asociadas: Aunque Mirax explota principalmente la ingeniería social y no vulnerabilidades específicas del sistema operativo, aprovecha debilidades en la gestión de permisos en versiones de Android 8.0 a 13.0.
– Vectores de ataque: Distribución mediante enlaces maliciosos en anuncios de Meta, descarga de APK desde repositorios no oficiales.
– TTPs MITRE ATT&CK relevantes:
– T1059 (Command and Scripting Interpreter)
– T1543 (Create or Modify System Process)
– T1204 (User Execution)
– Indicadores de Compromiso (IoC):
– Dominios de distribución de APK (ej: mirax-app[.]com, mirrorupdate[.]xyz)
– Hashes de archivos maliciosos detectados en VirusTotal.
– Comunicaciones C2 cifradas sobre HTTP y WebSockets.
– Herramientas y frameworks: Se han detectado similitudes en la estructura de código con payloads generados por frameworks como Metasploit y Cobalt Strike, aunque se han identificado módulos personalizados.

4. Impacto y Riesgos

El alcance de Mirax es significativo: más de 220.000 cuentas de usuarios han sido expuestas a la campaña, con una tasa estimada de infección del 3-5% según análisis de tráfico en endpoints afectados. El RAT permite la exfiltración de datos sensibles (credenciales, SMS, 2FA), captura de pantallas, grabación de audio y vídeo, y control remoto de funcionalidades del dispositivo.

El riesgo para las organizaciones es doble: por un lado, la potencial filtración de datos corporativos si empleados acceden a recursos empresariales desde dispositivos comprometidos; por otro, el posible uso de estos dispositivos como punto de entrada para ataques más amplios (lateral movement).

5. Medidas de Mitigación y Recomendaciones

Las empresas y usuarios deben implementar las siguientes medidas para reducir la superficie de ataque:

– Restringir la instalación de aplicaciones fuera de Google Play y deshabilitar la opción de “fuentes desconocidas” en dispositivos corporativos.
– Monitorizar el tráfico de red en busca de IoC asociados a Mirax.
– Actualizar sistemas Android a la versión más reciente disponible y aplicar parches de seguridad mensualmente.
– Realizar auditorías periódicas de permisos concedidos a aplicaciones y revocar acceso innecesario a servicios críticos.
– Desplegar soluciones de EDR específicas para dispositivos móviles y formar a los empleados sobre riesgos de ingeniería social.
– Utilizar autenticación multifactor robusta para aplicaciones críticas.

6. Opinión de Expertos

Según analistas de amenazas de empresas como Kaspersky, ESET y ElevenPaths, Mirax representa una tendencia creciente hacia el uso de RATs móviles altamente personalizados y dirigidos. «La combinación de ingeniería social y la explotación de plataformas de anuncios masivos facilita una rápida propagación y una exposición significativa», señala Manuel Fernández, investigador de malware. El uso de técnicas inspiradas en frameworks como Cobalt Strike en el contexto móvil supone una evolución preocupante en el arsenal de los cibercriminales.

7. Implicaciones para Empresas y Usuarios

La propagación de Mirax pone de manifiesto la necesidad de reforzar las políticas de seguridad móvil, especialmente en organizaciones que permiten el uso de BYOD (Bring Your Own Device). La exposición de datos personales y corporativos puede conllevar graves consecuencias legales bajo GDPR y NIS2, incluyendo sanciones económicas y daños reputacionales.

Para los usuarios, el principal riesgo es la pérdida de privacidad y el robo de datos financieros o de identidad. Se recomienda extremar la precaución ante anuncios sospechosos y verificar siempre la legitimidad de las aplicaciones antes de su descarga.

8. Conclusiones

Mirax ejemplifica la sofisticación creciente de los troyanos RAT para Android y la eficacia de su distribución a través de plataformas sociales. Las empresas deben reforzar sus estrategias de defensa, priorizando la formación, la monitorización proactiva y la aplicación rigurosa de políticas de seguridad móvil. La colaboración entre la industria, los CERT y los organismos reguladores será clave para frenar este tipo de amenazas emergentes.

(Fuente: feeds.feedburner.com)