Image credit: Freepix
Mirax Trojan Android Pembajak IP – Sebuah ancaman baru baru saja muncul di radar keamanan siber Android. Trojan akses jarak jauh (remote access trojan) yang masih seumur jagung bernama Mirax dilaporkan tengah aktif menargetkan pengguna.
Melalui kampanye iklan yang sangat terstruktur di platform Meta (Facebook, Instagram, Messenger, dan Threads), peretas diperkirakan telah menjangkau lebih dari 220.000 akun pengguna hanya dalam waktu singkat.
Mirax bukan sekadar trojan biasa; ia menggabungkan kemampuan kontrol jarak jauh penuh dengan fitur yang jarang ditemukan pada perangkat lunak jahat Android konvensional. Selain mencuri data, Mirax memiliki kemampuan untuk mengubah perangkat korban menjadi residential proxy node.
Hal ini memungkinkan penyerang untuk “meminjam” alamat IP asli korban guna menyamarkan aktivitas ilegal mereka, sehingga seolah-olah lalu lintas internet tersebut berasal dari pengguna yang sah.
Operasi Eksklusif “Malware-as-a-Service”
Informasi mengenai Mirax pertama kali terungkap ketika pengembangnya, yang menggunakan nama “Mirax Bot,” mulai mengiklankan layanan Malware-as-a-Service (MaaS) pribadi di forum-forum bawah tanah.
Model bisnis ini ditawarkan dengan harga yang cukup tinggi, yakni US2.500 untuk langganan tiga bulan, atau varian ringan sehargaUS1.750 per bulan yang menghilangkan beberapa fitur canggih seperti sistem proxy.
Berbeda dengan layanan MaaS pada umumnya, Mirax didistribusikan melalui model yang sangat terkontrol dan eksklusif, terbatas hanya untuk sejumlah kecil afiliasi.
Akses tampaknya diprioritaskan bagi aktor ancaman berbahasa Rusia yang memiliki reputasi mapan di komunitas bawah tanah.
Hal ini mengindikasikan upaya sengaja dari pengembangnya untuk menjaga keamanan operasional dan efektivitas kampanye mereka agar tidak mudah terdeteksi oleh peneliti keamanan.
|
Baca juga: Waspada Data Pribadi di Media Sosial |
Dari Pencurian Hingga Manipulasi UI
Sebagai sebuah RAT, Mirax memiliki gudang senjata yang lengkap untuk mengeksploitasi perangkat Android:
- Pencurian Data: Mampu merekam ketukan tombol (keystroke), mencuri foto, mengambil detail layar kunci, dan memantau seluruh aktivitas pengguna.
- Eksekusi Perintah: Peretas dapat menjalankan perintah jarak jauh dan menavigasi antarmuka pengguna seolah-olah mereka memegang perangkat tersebut secara fisik.
- Overlay Dinamis: Mirax dapat secara dinamis mengambil halaman HTML palsu dari server C2 untuk ditampilkan di atas aplikasi resmi (seperti aplikasi bank atau media sosial) guna mencuri kredensial login korban.
- Fitur SOCKS5 Proxy: Inilah fitur yang membedakannya. Dengan mengubah perangkat menjadi proxy, penyerang dapat menghindari pembatasan geografis, mengelabui sistem deteksi penipuan, dan melakukan pengambilalihan akun dengan tingkat anonimitas yang sangat tinggi.
Strategi Penyebaran Melalui Iklan Meta
Kampanye distribusi Mirax memanfaatkan iklan di Meta untuk mempromosikan halaman web aplikasi dropper.
Pengguna yang tidak waspada akan dijebak untuk mengunduh aplikasi yang diklaim sebagai layanan streaming film dan olahraga langsung secara gratis.
Setidaknya enam iklan aktif telah terpantau, di mana salah satu iklan yang mulai berjalan pada 6 April 2026 dilaporkan memiliki jangkauan hingga 190.987 akun.
URL aplikasi dropper ini juga diimplementasikan dengan berbagai pengecekan teknis untuk memastikan bahwa pengaksesnya adalah perangkat seluler asli, guna mencegah pemindaian otomatis oleh alat keamanan siber untuk mengungkap jati diri malware tersebut.
Beberapa nama aplikasi yang perlu diwaspadai meliputi:
- StreamTV (org.lgvvfj.pluscqpuj atau org.dawme.secure5ny) Sebagai aplikasi dropper.
- Reproductor de video (org.yjeiwd.plusdc71 atau org.azgaw.managergst1d) Sebagai aplikasi Mirax yang menyamar sebagai pemutar video.
Penyerang juga menggunakan GitHub untuk menghosting file APK berbahaya tersebut dan menyediakan pilihan dua jenis crypter Virbox dan Golden Crypt untuk melindungi aplikasi dari analisis keamanan.
Mekanisme Infeksi dan Komunikasi C2
Setelah terinstal, aplikasi dropper akan menginstruksikan pengguna untuk mengizinkan instalasi dari sumber tidak dikenal.
Proses ekstraksi muatan akhir (payload) dilakukan melalui operasi multitahap yang canggih untuk menghindari analisis otomatis dan alat sandboxing.
Begitu aktif, Mirax akan menyamar sebagai utilitas pemutar video dan mendesak korban untuk mengaktifkan Layanan Aksesibilitas (Accessibility Services).
Jika diizinkan, malware ini akan berjalan di latar belakang, menampilkan pesan kesalahan palsu yang menyatakan instalasi gagal, padahal ia sedang aktif melakukan aktivitas jahat.
Untuk mengelola operasinya, Mirax membangun tiga saluran komunikasi dua arah (WebSocket) yang berbeda:
- Port 8443: Untuk manajemen akses jarak jauh dan eksekusi perintah.
- Port 8444: Untuk manajemen streaming jarak jauh dan eksfiltrasi data.
- Port 8445: Khusus untuk membangun residential proxy menggunakan protokol SOCKS5.
|
Baca juga: Panduan Bersih-Bersih Komputer Setelah Kena Malware |
Munculnya ASO RAT
Bersamaan dengan munculnya Mirax, para peneliti juga mendeteksi keberadaan ASO RAT, trojan Android berbahasa Arab yang didistribusikan melalui aplikasi pembaca PDF palsu dan aplikasi pemerintah Suriah.
ASO RAT menawarkan kemampuan kompromi perangkat yang sangat luas, mulai dari intersepsi SMS, akses kamera, pelacakan GPS, hingga peluncuran serangan DDoS dari perangkat korban.
Munculnya berbagai varian RAT ini menandai fase baru di mana perangkat seluler kini tidak hanya menjadi target pencurian uang, tetapi juga menjadi infrastruktur aktif untuk kegiatan kriminal yang lebih luas.
Langkah Perlindungan dan Mitigasi
Melihat tren ancaman Android di tahun 2026 yang semakin kompleks, perlindungan perangkat seluler menjadi sangat krusial. Peneliti keamanan menyarankan langkah-langkah berikut:
- Jangan pernah mengunduh aplikasi dari tautan iklan di media sosial yang menjanjikan konten gratis atau ilegal.
- Selalu unduh aplikasi hanya dari Google Play Store. Meskipun terkadang ada yang lolos, Play Store jauh lebih aman daripada tautan pihak ketiga atau GitHub.
- Jangan pernah memberikan izin Layanan Aksesibilitas kepada aplikasi yang tidak benar-benar membutuhkannya (seperti pemutar video atau aplikasi senter). Ini adalah gerbang utama bagi malware Android untuk mengontrol perangkat Anda.
- Pasang solusi perlindungan seperti ESET Mobile Security yang mampu mendeteksi aktivitas dropper dan komunikasi mencurigakan ke server C2 secara real-time.
Mirax adalah bukti nyata bagaimana peretas terus berevolusi dengan menggabungkan dua fungsi berbahaya, pencurian data perbankan dan penyediaan infrastruktur kriminal.
Dengan memanfaatkan kepercayaan pengguna pada platform media sosial besar, ancaman ini dapat menyebar dengan sangat cepat.
Kewaspadaan digital tetap menjadi pertahanan terbaik untuk memastikan perangkat Android Anda tidak berakhir menjadi “zombie” yang dikendalikan oleh kriminal siber internasional.
Sumber berita:
