Mirax Android RAT Mengubah Perangkat Jadi Proxy SOCKS5, Capai 220.000 Akun Lewat Iklan Meta

Sebuah malware baru berupa Remote Access Trojan (RAT) Android bernama Mirax dilaporkan sedang aktif menargetkan negara-negara berbahasa Spanyol dengan kampanye yang telah menjangkau lebih dari 220.000 akun di platform Meta seperti Facebook, Instagram, Messenger, dan Threads melalui iklan berbayar.

Mirax: RAT Android dengan Fitur Proxy SOCKS5

Menurut perusahaan keamanan Italia, Cleafy, Mirax menggabungkan kemampuan RAT canggih yang memungkinkan pelaku kejahatan siber untuk berinteraksi langsung dengan perangkat korban secara real time. Namun, yang membedakan Mirax dari RAT konvensional adalah kemampuannya mengubah perangkat yang terinfeksi menjadi node proxy residential menggunakan protokol SOCKS5 dan multiplexing Yamux, sehingga pelaku dapat mengalihkan lalu lintas internet melalui alamat IP asli korban.

"Mirax mengintegrasikan kemampuan Remote Access Trojan lanjutan yang memungkinkan aktor ancaman berinteraksi penuh dengan perangkat yang terinfeksi secara real time," ujar Cleafy.

Fitur proxy ini memberikan keunggulan bagi pelaku kejahatan untuk melewati pembatasan geografis, menghindari sistem deteksi penipuan, serta melakukan pengambilalihan akun dan penipuan transaksi dengan modus yang tampak lebih anonim dan legitimate.

Distribusi Melalui Iklan Meta dan Strategi Penyebaran

Mirax didistribusikan lewat iklan di platform Meta yang mengarahkan pengguna ke halaman aplikasi dropper palsu yang menyamar sebagai layanan streaming gratis untuk olahraga dan film. Sebanyak enam iklan aktif terdeteksi, dengan lima di antaranya menyasar pengguna di Spanyol. Salah satu iklan yang mulai tayang pada 6 April 2026 berhasil menjangkau 190.987 akun.

URL aplikasi dropper tersebut menerapkan berbagai pemeriksaan untuk memastikan akses dari perangkat seluler dan menghindari pemindaian otomatis yang dapat mengungkap aktivitas berbahaya. Nama aplikasi jahat yang digunakan meliputi:

• StreamTV (org.lgvvfj.pluscqpuj atau org.dawme.secure5ny) – aplikasi dropper
• Reproductor de video (org.yjeiwd.plusdc71 atau org.azgaw.managergst1d) – Mirax itu sendiri

Salah satu aspek menarik adalah penggunaan GitHub sebagai tempat hosting APK dropper berbahaya. Panel pembuat malware juga menawarkan pilihan crypter seperti Virbox dan Golden Crypt untuk meningkatkan perlindungan APK dari deteksi keamanan.

Teknik Infeksi dan Operasi Malware

Setelah diunduh, aplikasi dropper meminta izin instalasi dari sumber tidak dikenal untuk mengaktifkan malware. Proses ekstraksi payload final dilakukan melalui operasi multi-tahap yang dirancang untuk menghindari analisis keamanan dan sandbox otomatis.

Mirax kemudian menyamar sebagai aplikasi pemutar video dan meminta pengguna mengaktifkan layanan aksesibilitas, memungkinkan malware berjalan di latar belakang. Malware menampilkan pesan kesalahan palsu yang menyatakan instalasi gagal serta menampilkan overlay palsu untuk menyembunyikan aktivitas berbahaya.

Mirax membuka beberapa saluran komunikasi Command-and-Control (C2) menggunakan WebSocket pada port 8443 (akses remote dan perintah), port 8444 (streaming dan pengambilan data), dan port 8445 atau port khusus lain (untuk proxy residential SOCKS5).

"Konvergensi kemampuan RAT dan proxy ini mencerminkan pergeseran besar dalam lanskap ancaman," kata Cleafy. "Mirax tidak hanya meningkatkan potensi monetisasi setiap infeksi, tapi juga memperluas cakupan operasi pelaku kejahatan yang kini dapat menggunakan perangkat terinfeksi untuk penipuan finansial langsung maupun sebagai infrastruktur kejahatan siber yang lebih luas."

Konteks dan Tren Malware Android Lainnya

Selain Mirax, perusahaan Breakglass Intelligence mengungkapkan adanya Android RAT berbahasa Arab bernama ASO RAT yang disebarkan lewat aplikasi palsu seperti pembaca PDF dan aplikasi pemerintah Suriah. Malware ini memiliki kemampuan komprehensif mulai dari penyadapan SMS, akses kamera, pelacakan GPS, pencatatan panggilan, hingga peluncuran serangan DDoS.

Penggunaan panel multi-pengguna dengan kontrol akses berbasis peran menunjukkan platform ini beroperasi sebagai RAT-as-a-Service atau mendukung tim operator multi-pengguna. Targetnya diduga adalah individu yang tertarik pada isu-isu militer atau pemerintahan Suriah, menandakan tujuan pengawasan.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan Mirax dengan kemampuan gabungan RAT dan proxy SOCKS5 menandai evolusi signifikan dalam ancaman siber pada perangkat Android. Dengan menyamarkan perangkat korban sebagai proxy residential, pelaku kejahatan dapat memperluas jangkauan serangan dan mengaburkan jejak digital mereka, membuat penegakan hukum dan upaya mitigasi menjadi lebih rumit.

Strategi distribusi melalui iklan berbayar di platform besar seperti Meta juga memperlihatkan bagaimana penjahat siber semakin canggih dalam memanfaatkan ekosistem digital untuk eksposur massal. Ini menggarisbawahi pentingnya kewaspadaan pengguna terhadap aplikasi yang tidak resmi dan pentingnya penguatan kontrol keamanan pada platform iklan digital.

Ke depannya, kita perlu mencermati apakah platform seperti Meta akan meningkatkan pengawasan dan filter iklan berbahaya, serta bagaimana regulasi dan teknologi keamanan bisa beradaptasi menghadapi malware dengan multi-fungsi yang semakin canggih ini.

Untuk informasi lebih lanjut dan update terkini, kunjungi artikel sumber asli di The Hacker News dan berita keamanan siber terpercaya lainnya.