Android-malware kan besmette telefoons als proxy gebruiken

In dit artikel:

Beveiligingsbedrijf Cleafy heeft een nieuwe Android-malware ontdekt die zowel als Remote Access Trojan (RAT) als banking Trojan fungeert. De malware, Mirax, wordt sinds december vorig jaar op undergroundfora aangeboden, maar niet via brede “malware-as-a-service”-kanalen; verspreiding lijkt beperkt tot een klein, selectief netwerk van partners.

Mirax wordt via malafide advertenties gepromoot die naar een valse site leiden met een zogenaamd IPTV‑app‑APK. Na installatie krijgt de aanvaller toegang tot toestelgegevens, kan hij inloggegevens stelen en het toestel op afstand besturen. Een opvallende technische eigenschap is dat Mirax besmette telefoons als proxy inzet: het implementeert een SOCKS5-proxy over een WebSocket-kanaal met multiplexing, waardoor meerdere verbindingen over één kanaal mogelijk zijn.

Cleafy stelt dat het gebruik van een SOCKS5-proxy binnen een Android‑RAT nieuw is. Hoewel die functie nog niet actief is misbruikt, kan ze aanvallers in staat stellen internetverkeer via slachtoffers te routen (met het bijbehorende legitieme IP‑adres), wat risico’s als brute‑force, DDoS en frauduleuze toegang tot bankdiensten vergroot. De campagne richt zich vooral op Spaanstalige gebruikers, maar verspreidt zich snel en kan andere regio’s treffen.

Advies: installeer alleen apps uit betrouwbare bronnen, wees terughoudend met APK’s van derden en houd mobiel OS en beveiligingssoftware up‑to‑date.