# Mirax RAT > [!danger] MaaS Android - Alta Ameaça ao Setor Financeiro Brasileiro > RAT Android comercializado como Malware-as-a-Service por **$1.750-$2.500/mês** com versão completa incluindo SOCKS5 proxy e painel web. Identificado pela CYFIRMA e Zimperium em março de 2026 como parte de uma onda de malware bancário móvel direcionado ao Brasil. O modelo MaaS democratiza o acesso a ferramentas de ataque sofisticadas para múltiplos grupos criminosos. ## Visão Geral **Mirax RAT** é um Remote Access Trojan (RAT) Android oferecido comercialmente sob modelo **Malware-as-a-Service (MaaS)** por um operador identificado como "Mirax Bot". O serviço é anunciado em canais fechados com dois planos de assinatura: - **Versão Completa:** $2.500/mês - **Versão Lite:** $1.750/mês Diferente de outros trojans bancários da mesma onda (como o [[pixrevolution|PixRevolution]]), o Mirax é uma plataforma profissional com painel web, suporte ao "cliente" e múltiplas capacidades além do banking trojan tradicional. O modelo de preço posiciona o Mirax para operadores com recursos financeiros significativos - grupos criminosos organizados com foco em fraude bancária em escala. O Mirax foi identificado simultaneamente pela [[cyfirma|CYFIRMA]] e [[zimperium|Zimperium]] em março de 2026 como parte de uma investigação sobre malware bancário Android direcionado ao [[banco-central-brasil|Banco Central do Brasil]] e ao sistema PIX. Faz parte da mesma campanha que revelou [[pixrevolution|PixRevolution]], [[beatbanker|BeatBanker]], [[taxispy-rat|TaxiSpy RAT]], [[oblivion-rat|Oblivion RAT]] e [[surxrat|SURXRAT]]. ## Como Funciona ### Distribuição O Mirax é distribuído via canais privados para assinantes pagantes do serviço MaaS. Os afiliados recebem: - Binários APK configurados e prontos para uso - Acesso ao painel web de controle - Infraestrutura C2 gerenciada pelos operadores - Atualizações automáticas para evasão de detecção A instalação nas vítimas segue o padrão de impersonação de aplicativos populares, aproveitando páginas falsas de download ou disseminação via engenharia social. ### Capacidades Técnicas O Mirax oferece um conjunto de capacidades que combina banking trojan tradicional com RAT completo: **Fraude bancária:** - Overlays bancários sobre aplicativos legítimos para captura de credenciais - Interceptação de transações PIX e redirectionamento - Monitoramento de SMS para captura de tokens 2FA **Coleta de informações:** - Keylogging via Android Accessibility Services - Captura de padrões de desbloqueio de tela (lock patterns) - Extração de SMS, contatos e registros de chamadas - Monitoramento de notificações de aplicativos **Capacidades RAT:** - Captura de tela em tempo real - Rastreamento de geolocalização do dispositivo - Execução remota de comandos via painel web **Infraestrutura:** - **Proxy SOCKS5:** Capacidade única que roteia tráfego malicioso por meio dos dispositivos comprometidos, usando as vítimas como proxies para outros ataques - dificultando rastreamento e ampliando o impacto - Comúnicação C2 criptografada para evasão de detecção de rede ### Modelo de Negócio MaaS O modelo MaaS do Mirax é preocupante pela escala que permite: ```mermaid graph TB A["💻 Operador Mirax Bot<br/>Desenvolve e mantém RAT<br/>Cobra assinatura mensal"] --> B["👥 Afiliados A, B, C...<br/>Pagam $1.750-$2.500/mês<br/>Sem necessidade técnica profunda"] B --> C["📱 Campanhas Paralelas<br/>Múltiplos afiliados atacam<br/>simultaneamente"] C --> D["🏦 Vítimas Brasil<br/>Qualquer app com PIX<br/>Fraude financeira em escala"] D --> E["💸 Lavagem<br/>Contas mula / cripto<br/>Prejuízo irreversível"] A --> F["🔄 Atualizações Contínuas<br/>Novos bypass de detecção<br/>Suporte ao cliente"] F --> B classDef operator fill:#8e44ad,stroke:#7d3c98,color:#fff classDef affiliate fill:#e74c3c,stroke:#c0392b,color:#fff classDef attack fill:#e67e22,stroke:#d35400,color:#fff classDef victim fill:#c0392b,stroke:#922b21,color:#fff classDef infra fill:#2980b9,stroke:#1a5276,color:#fff class A operator class B affiliate class C,D attack class E victim class F infra ``` ## Attack Flow ```mermaid graph TB A["🛒 Assinatura MaaS<br/>Afiliado paga $1.750-2.500/mês<br/>Recebe APK + acesso ao painel"] --> B["📲 Distribuição APK<br/>Canais privados / engenharia social<br/>Impersonação de apps legítimos"] B --> C["🎭 Instalação + Permissões<br/>Accessibility Services<br/>Acesso a SMS e câmera"] C --> D["📡 Registro C2<br/>Heartbeat para servidor<br/>Infraestrutura gerenciada MaaS"] D --> E["🔍 Reconhecimento<br/>Coleta SMS, contatos<br/>Identifica apps bancários"] E --> F["🏦 Ataque Financeiro<br/>Overlay bancário ativo<br/>Intercepta PIX + captura 2FA"] F --> G["🌐 Proxy SOCKS5<br/>Vítima vira proxy<br/>Tráfego malicioso camuflado"] G --> H["💸 Exfiltração<br/>Credenciais + fundos<br/>Via conta mula"] classDef infra fill:#8e44ad,stroke:#7d3c98,color:#fff classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef install fill:#e67e22,stroke:#d35400,color:#fff classDef c2 fill:#3498db,stroke:#2980b9,color:#fff classDef recon fill:#27ae60,stroke:#1e8449,color:#fff classDef attack fill:#c0392b,stroke:#922b21,color:#fff classDef impact fill:#2c3e50,stroke:#1a252f,color:#fff class A infra class B delivery class C install class D c2 class E recon class F,G attack class H impact ``` ## Evolução do Ecossistema MaaS ```mermaid timeline title Mirax RAT e Onda Android 2026 2020 : PIX lançado no Brasil : Novo vetor de fraude financeira 2024 : Primeiros RATs Android com foco em PIX : Ecossistema criminal se especializa Ján 2026 : Desenvolvimento do Mirax RAT : Modelo MaaS com painel web e SOCKS5 Mar 2026 : CYFIRMA e Zimperium identificam Mirax : 6 familias simultaneas - onda documentada : Preco publicado: $1.750-$2.500/mes ``` ## TTPs Mapeados | Técnica | ID | Descrição no Mirax RAT | |---------|----|------------------------| | Input Capture | [[t1056-input-capture\|T1056]] | Keylogging via Accessibility Services | | Input Capture (Android) | [[t1417-input-capture-android\|T1417]] | Captura de padrões de desbloqueio e PINs | | Screen Capture | [[t1513-screen-capture\|T1513]] | Captura de tela em tempo real via painel | | Browser Session Hijacking | [[t1185-browser-session-hijacking\|T1185]] | Hijacking de sessões bancárias com overlay | | Masquerading | [[t1036-masquerading\|T1036]] | Impersonação de apps legítimos | | Location Tracking | [[t1430-location-tracking\|T1430]] | Rastreamento GPS do dispositivo comprometido | | System Information Discovery | [[t1426-system-information-discovery\|T1426]] | Coleta de dados do dispositivo e apps instalados | | Encrypted Channel | [[t1521-encrypted-channel-android\|T1521]] | Comúnicação C2 criptografada | ## Superfície de Ataque: Do MaaS ao Dispositivo ```mermaid graph TB subgraph distribuição["Distribuição MaaS"] A1["Operador Mirax Bot<br/>Infra C2 gerenciada"] A2["APK configurado<br/>Entregue ao afiliado"] A3["Engenharia social<br/>Pagina falsa de app"] end subgraph instalacao["Instalacao + Permissoes"] B1["Accessibility Services<br/>typeAllMask - tudo visivel"] B2["SMS + Contatos<br/>Bypass 2FA"] B3["Localização GPS<br/>Rastreamento do alvo"] end subgraph ataque["Ataque Financeiro"] C1["Overlay bancario<br/>Captura credenciais PIX"] C2["Intercepta transação<br/>Substitui chave PIX"] C3["SOCKS5 proxy ativo<br/>Vitima vira relay"] end A1 --> A2 A2 --> A3 A3 --> B1 B1 --> B2 B1 --> B3 B2 --> C1 C1 --> C2 C2 --> C3 classDef maas fill:#cc6600,color:#fff classDef install fill:#1a3a5c,color:#fff classDef attack fill:#cc0000,color:#fff class A1,A2,A3 maas class B1,B2,B3 install class C1,C2,C3 attack ``` ## Relevância LATAM/Brasil > [!danger] O SOCKS5 Proxy Multiplica o Impacto > A capacidade de proxy SOCKS5 distingue o Mirax de trojans bancários comuns. Ao transformar cada dispositivo comprometido em um proxy, o operador pode rotear tráfego malicioso por milhares de IPs brasileiros legítimos - dificultando bloqueio por geolocalização, evadindo sistemas antifraude que confiam em IPs nacionais e escalando ataques a outros sistemas. Um único afiliado com dezenas de dispositivos comprometidos tem acesso a dezenas de proxies residenciais brasileiros. > [!warning] Contexto da Onda Android 2026 > O Mirax RAT faz parte de uma onda documentada de malware Android focado no Brasil descoberta em março de 2026. A simultânea descoberta de **6 famílias** - algumas gratuitas, outras pagas - sugere um ecossistema criminoso em maturação, com diferentes pontos de entrada (gratuito para iniciantes via [[surxrat|SURXRAT]]; profissional para operadores capitalizados via Mirax) e foco compartilhado no sistema PIX como vetor de fraude prioritário. > [!tip] Setores Afetados > - **Setor financeiro (primário):** Todos os bancos e fintechs brasileiras com suporte a PIX > - **Criptoativos:** Monitoramento de carteiras digitais para roubo de credenciais > - **Telecomúnicações:** Interceptação de SMS para bypass de 2FA ## Indicadores de Comprometimento **Categorias de IoC a monitorar:** - APKs com permissões de Acessibilidade, SMS e Localização combinadas - Comúnicações C2 saindo de apps não-bancários para endpoints externos - Tráfego SOCKS5 a partir de dispositivos móveis não-corporativos - Overlays sobre aplicativos bancários de processos não-bancários - Apps com padrão de heartbeat periódico para IPs externos **Comportamentos Android suspeitos:** - `AccessibilityService` com `typeAllMask` em apps não-assistivos - Leitura de SMS combinada com conexões de rede a IPs externos não-conhecidos - Apps solicitando permissão `BIND_ACCESSIBILITY_SERVICE` após instalação sideloaded ## Detecção e Mitigação **Para usuários finais:** - Instalar apps somente pela Google Play oficial - Verificar permissões antes de conceder Acessibilidade ou acesso a SMS - Ativar Google Play Protect e manter atualizado - Monitorar consumo incomum de dados em segundo plano **Para equipes de segurança corporativa:** - Implementar Mobile Device Management (MDM) com política de sideloading desabilitado - Usar Mobile Threat Defense (MTD) com detecção comportamental - Bloquear SOCKS5 de saída em dispositivos móveis corporativos - Monitorar alertas de sobreposição de tela (overlay) em apps bancários homologados **Para instituições financeiras:** - Implementar detecção de on-device fraud baseada em comportamento (não apenas biometria) - Alertar usuários sobre padrão "Aguarde..." suspeito em confirmações PIX - Monitorar transações PIX com chaves de destino que mudam entre abertura e confirmação ## Comparação com Famílias Relacionadas | Característica | Mirax RAT | PixRevolution | Oblivion RAT | |----------------|-----------|---------------|--------------| | Preço | $1.750-2.500/mês | N/A (campanha) | $300/mês | | SOCKS5 Proxy | Sim | Não | Não | | Painel Web | Sim | Não | Sim | | Alvo PIX | Sim | Especializado | Sim | | Overlay bancário | Sim | Sim | Sim | | Captura de tela ao vivo | Sim | Sim | Sim | ## Referências - [The Hacker News - Six Android Malware Families Target Pix Payments](https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html) - 2026-03-12 - [Zimperium zLabs - PixRevolution and Android Banking Campaign](https://zimperium.com/blog/pixrevolution-the-agent-operated-android-trojan-hijacking-brazils-pix-payments-in-real-time) - 2026-03-11 - [CYFIRMA - Android Banking Malware Research](https://www.cyfirma.com/research/) - 2026-03 - [Caveiratech - Seis famílias de malware Android atacam Pix](https://caveiratech.com/post/seis-familias-de-malware-android-atacam-pix-apps-bancarios-e-carteiras-de-criptoativos-2974791) - 2026-03-12