Um novo malware bancário para Android, batizado de Mirax Bot, está sendo anunciado em fóruns subterrâneos de cibercriminosos no modelo Malware-as-a-Service (MaaS). A ferramenta, que supostamente suporta mais de 700 injeções de aplicativos e possui capacidade de Controle Remoto Oculto de Rede Virtual (HVNC), é alugada em pacotes tiered, reduzindo a barreira de entrada para fraudes financeiras em larga escala. Pesquisadores da KrakenLabs identificaram e alertaram para a ameaça em 5 de março de 2026.
Capacidades técnicas e modelo de negócio
O Mirax Bot é anunciado no ExploitForum com um conjunto avançado de funcionalidades voltadas para takeover de contas (ATO) e fraude financeira. O HVNC permite que um atacante controle remotamente o dispositivo infectado em uma sessão paralela e oculta, sem que a vítima perceba qualquer atividade anômala na tela. Simultaneamente, uma biblioteca de mais de 700 injeções sobrepõe telas falsas sobre aplicativos legítimos de bancos, carteiras de criptomoedas e serviços de pagamento para capturar credenciais, senhas de uso único e detalhes de cartões.
O modelo de aluguel segue uma estrutura de preços: pacote LIGHT de 30 dias por US$ 1.750, pacote LIGHT de 14 dias por US$ 1.000, com um carregador de APK opcional por US$ 500 adicional. Os recursos anunciados, no entanto, ainda não foram verificados de forma independente.
Mecanismo de evasão e impacto
Um aspecto particularmente preocupante do malware é sua capacidade de rotear o tráfego do atacante através da própria conexão de rede do dispositivo infectado, transformando-o em um proxy residencial. Isso permite que solicitações maliciosas pareçam originar-se do dispositivo e endereço IP legítimo da vítima, contornando mecanismos de detecção de fraude baseados em reputação de IP usados por bancos e provedores de pagamento.
Com suporte declarado para centenas de aplicativos em múltiplos países, o Mirax Bot tem potencial para impactar usuários em diversas plataformas financeiras simultaneamente, representando um risco significativo para indivíduos e instituições.
Recomendações de proteção
Para se proteger contra ameaças como o Mirax Bot, usuários de Android devem instalar aplicativos apenas da Google Play Store oficial, evitar o sideload de APKs de fontes desconhecidas, manter o Google Play Protect ativado e revisar permissões de aplicativos com cuidado. O uso de ferramentas de segurança móvel com detecção comportamental é recomendado. Instituições financeiras devem priorizar autenticação vinculada ao dispositivo (device binding) e investir em sistemas de detecção de fraude que analisem padrões comportamentais além da verificação baseada em IP.