Một loại mã độc ngân hàng Android mới mang tên Mirax Bot đã xuất hiện trên các diễn đàn tội phạm mạng ngầm. Đối tượng đe dọa đang tích cực quảng bá đây là một công cụ mạnh mẽ, được xây dựng chuyên biệt cho các hoạt động gian lận tài chính quy mô lớn.

Được rao bán theo mô hình Malware-as-a-Service (MaaS), mã độc Mirax Bot được cung cấp dưới dạng các gói thuê có cấu trúc. Điều này giúp nhiều đối tượng tội phạm dễ dàng tiếp cận, bất kể trình độ kỹ thuật của họ.

Mirax Bot: Sự Nổi Lên Của Một Mã Độc Ngân Hàng Android Mới

Sự xuất hiện của mã độc Mirax Bot phản ánh một xu hướng đáng báo động trong tội phạm mạng di động. Các công cụ tấn công tinh vi giờ đây được đóng gói và bán như phần mềm thương mại.

Điều này làm giảm đáng kể rào cản cho bất kỳ ai muốn thực hiện gian lận ngân hàng quy mô lớn nhắm vào người dùng thiết bị Android trên toàn thế giới, thúc đẩy sự gia tăng của các chiến dịch lừa đảo tài chính.

Mô Hình MaaS và Giá Thuê

Công cụ độc hại này hiện đang được quảng cáo trên ExploitForum, một thị trường ngầm uy tín. Tại đây, tội phạm mạng thường xuyên trao đổi các công cụ, dịch vụ và dữ liệu bị đánh cắp một cách công khai.

Theo danh sách quảng cáo, mã độc Mirax Bot hỗ trợ hơn 700 ứng dụng inject cùng với chức năng Hidden Virtual Network Computing (HVNC).

Khả năng này cho phép kẻ tấn công đồng thời đánh cắp thông tin đăng nhập và điều khiển thiết bị bị nhiễm từ xa mà không hiển thị bất kỳ dấu hiệu xâm nhập nào trên màn hình của nạn nhân.

Giá thuê Mirax Bot được cấu trúc theo nhiều cấp độ, tạo điều kiện cho các đối tượng tội phạm với ngân sách khác nhau:

• Gói LIGHT 30 ngày: 1.750 USD.
• Gói LIGHT 14 ngày: 1.000 USD.
• Tùy chọn bổ sung APK Loader: 500 USD.

Phát Hiện Ban Đầu bởi KrakenLabs

Các nhà nghiên cứu bảo mật của KrakenLabs đã xác định và gắn cờ mã độc Mirax Bot vào ngày 5 tháng 3 năm 2026. Họ đã theo dõi tích cực các quảng cáo của nó trên các nền tảng ngầm và diễn đàn tội phạm mạng.

Họ lưu ý rằng bộ tính năng của phần mềm độc hại này được xây dựng để hỗ trợ các hoạt động chiếm đoạt tài khoản (ATO) và gian lận tài chính ở quy mô lớn.

Nó kết hợp khả năng thu thập thông tin xác thực, tương tác thiết bị từ xa theo thời gian thực và chức năng proxy dân cư thông qua các thiết bị Android bị xâm nhập.

Đội ngũ KrakenLabs cũng làm rõ rằng tất cả các khả năng được liệt kê trong quảng cáo đều là tuyên bố của người bán và chưa được xác minh độc lập ở giai đoạn này. Thông tin chi tiết có thể được tìm thấy trong bài đăng của KrakenLabs trên X.

Đặc Điểm Kỹ Thuật và Cơ Chế Tấn Công của Mã Độc Mirax Bot: Mối Đe Dọa Mạng Di Động

Ngoài bản thân quảng cáo, hồ sơ kỹ thuật của mã độc Mirax Bot đặt ra những lo ngại nghiêm trọng cho cả người dùng cá nhân và các tổ chức tài chính trên toàn thế giới do sự tinh vi trong cách thức hoạt động của nó.

Khả Năng Vượt Qua Cơ Chế Phát Hiện Gian Lận

Mirax Bot được báo cáo là định tuyến lưu lượng truy cập của kẻ tấn công thông qua kết nối mạng của chính thiết bị bị nhiễm. Điều này hiệu quả biến thiết bị của nạn nhân thành một proxy dân cư (residential proxy).

Bằng cách này, Mirax Bot có thể vượt qua các cơ chế phát hiện gian lận phức tạp mà các ngân hàng và nhà cung cấp dịch vụ thanh toán đang sử dụng. Đây là một phương pháp rất hiệu quả để ẩn mình.

Vì các yêu cầu đi ra dường như đến trực tiếp từ thiết bị và địa chỉ IP của nạn nhân, các kiểm tra bảo mật tiêu chuẩn ít có khả năng gắn cờ hoạt động này là đáng ngờ hoặc gian lận. Điều này làm cho việc phát hiện xâm nhập trong thời gian thực trở nên đặc biệt khó khăn đối với các hệ thống phòng thủ hiện có.

Chức Năng HVNC (Hidden Virtual Network Computing)

Các thành phần kỹ thuật nguy hiểm nhất của mã độc Mirax Bot là khả năng HVNC và thư viện inject mở rộng với hơn 700 ứng dụng mục tiêu.

HVNC, viết tắt của Hidden Virtual Network Computing, cho phép kẻ tấn công điều khiển một thiết bị Android bị nhiễm từ xa và âm thầm.

Đáng chú ý, HVNC thực hiện điều này mà không làm ảnh hưởng đến bất cứ điều gì mà nạn nhân nhìn thấy trên màn hình của họ, đảm bảo tính bí mật tối đa cho hoạt động tấn công.

Kẻ tấn công có thể mở ứng dụng, thực hiện chuyển tiền, phê duyệt giao dịch và trích xuất dữ liệu nhạy cảm hoàn toàn thông qua một phiên song song ẩn. Điều này gần như không thể để chủ sở hữu thiết bị phát hiện ra bất kỳ điều gì trái phép đang xảy ra, tạo ra một lỗ hổng bảo mật nghiêm trọng.

Thư Viện Inject Đa Dạng

Thư viện inject hoạt động trực tiếp cùng với HVNC bằng cách đặt các màn hình giả mạo nhưng rất thuyết phục lên trên các ứng dụng ngân hàng và thanh toán hợp pháp ngay khi nạn nhân mở chúng.

Những màn hình phủ (overlay screens) này được thiết kế để trông giống hệt giao diện ứng dụng thực, lừa người dùng nhập thông tin đăng nhập, mật khẩu một lần (OTP) hoặc chi tiết thẻ của họ.

Tất cả thông tin nhạy cảm này sau đó được thu thập và chuyển tiếp một cách lặng lẽ đến kẻ tấn công mà không có dấu vết nào trên thiết bị của nạn nhân.

Với tuyên bố hỗ trợ inject cho hơn 700 ứng dụng trên các ngân hàng, ví tiền điện tử và dịch vụ thanh toán, mã độc Mirax Bot được định vị để tác động đến người dùng trên nhiều quốc gia và nền tảng tài chính cùng một lúc, đe dọa một diện rộng các mục tiêu tiềm năng.

Tác Động và Biện Pháp Phòng Chống Mã Độc Mirax Bot

Để bảo vệ chống lại các mối đe dọa như Mirax Bot, người dùng và tổ chức cần áp dụng các biện pháp an ninh mạng chủ động và đa lớp.

Đối Với Người Dùng Android

Người dùng Android chỉ nên cài đặt ứng dụng từ Cửa hàng Google Play chính thức và tránh cài đặt APK từ các nguồn bên ngoài không xác định hoặc không đáng tin cậy. Đây là bước phòng thủ cơ bản nhưng hiệu quả.

Duy trì Google Play Protect hoạt động, xem xét cẩn thận các yêu cầu cấp quyền ứng dụng trước khi cấp quyền truy cập, và sử dụng công cụ bảo mật di động được trang bị khả năng phát hiện hành vi là những biện pháp bảo vệ có ý nghĩa đáng được áp dụng để tăng cường an toàn cho thiết bị.

Đối Với Các Tổ Chức Tài Chính

Các tổ chức tài chính nên ưu tiên xác thực ràng buộc thiết bị (device-binding authentication) để đảm bảo rằng chỉ các thiết bị đã được ủy quyền mới có thể truy cập vào tài khoản.

Họ cũng cần đầu tư vào các hệ thống phát hiện gian lận phân tích các mẫu hành vi của người dùng, thay vì chỉ dựa vào xác minh dựa trên địa chỉ IP. Cách tiếp cận này giúp nhận diện các hành vi bất thường và ngăn chặn gian lận hiệu quả hơn.