كشفت تقارير حديثة عن اكتشاف برنامج خبيث جديد لنظام أندرويد يُدعى “Mirax”، والذي بدأ بالانتشار بشكل سري عبر منتديات مجرمي الإنترنت منذ أواخر عام 2025، مما يشكل تهديدًا متزايدًا لمستخدمي الهواتف الذكية في أوروبا وخارجها. ويكمن التميز الرئيسي لهذا البرنامج في وظيفته المزدوجة، حيث لا يقتصر الأمر على سرقة بيانات الاعتماد المصرفية، بل يقوم بتحويل الهواتف المصابة إلى عقد وكيل إقامة (residential proxy nodes)، مما يمكّن المهاجمين من توجيه حركة مرور شبكة احتيالية عبر عنوان IP الخاص بالضحية.
هذا المزيج من القدرات يمثل تطورًا ملحوظًا في كيفية بناء البرامج الخبيثة للهواتف الذكية وتحقيق الربح منها. ويُقدم “Mirax” كخدمة برامج خبيثة (Malware-as-a-Service)، حيث يتم تأجيره لجهات إجرامية تعمل بشكل مستقل عبر منصة مشتركة. على عكس العديد من أدوات MaaS المتاحة في السوق، فإن الوصول إليه مقصور بشكل متعمد على عدد قليل من الجهات الموثوقة، مع تفضيل الجهات الناطقة بالروسية المعروفة ضمن مجتمعات الجريمة السيبرانية.
آلية عمل برنامج Mirax الخبيث
بدأت باحثو شركة Cleafy بتتبع برنامج “Mirax” بشكل نشط منذ مارس 2026، بعد رصد حملات متعددة استهدفت مستخدمين ناطقين بالإسبانية. وكشفت تحقيقاتهم أن البرنامج ظهر لأول مرة في منتديات الإنترنت في 19 ديسمبر 2025، حيث كانت الحملات بالفعل قد وصلت إلى أكثر من 200 ألف حساب عبر إعلانات مدفوعة على فيسبوك وإنستغرام.
يشير حجم العملية في هذا الإطار الزمني القصير إلى مدى سرعة تحرك المشغلين للترويج للأداة الجديدة. تبدأ عملية العدوى بإعلان عبر وسائل التواصل الاجتماعي يوجه الضحايا إلى موقع تصيد احتيالي ينتحل صفة خدمة بث IPTV أو خدمة بث رياضي غير قانوني.
نظرًا لأن هذه الأنواع من التطبيقات غير متاحة على متجر Google Play، فإن المستخدمين اعتادوا بالفعل على تثبيت التطبيقات من خارج القنوات الرسمية، مما يسهل تنفيذ الهندسة الاجتماعية بشكل كبير. ويتم استضافة ملفات الإسقاط (dropper files) على صفحة الإصدارات (Releases) الخاصة بموقع GitHub ويتم تحديثها يوميًا برموز تجزئة جديدة للحزم (package hashes) لتجنب أدوات الكشف القائمة على تجزئة الملفات، على الرغم من أن المحتوى الفعلي للتطبيق يظل كما هو بين هذه التحديثات. بمجرد التثبيت، يقوم ملف الإسقاط بفك تشفير الحمولة الخبيثة النهائية وتسليمها مباشرة إلى الجهاز.
بعد إكمال التثبيت، يتنكر البرنامج الخبيث في هيئة أداة لتشغيل الفيديو ويطلب فورًا من المستخدم تمكين خدمات إمكانية الوصول (Accessibility Services). بمجرد منح هذا الإذن، يعمل البرنامج بالكامل في الخلفية أثناء عرض صفحة خطأ وهمية للمستخدم، مما يجعله يبدو وكأن عملية التثبيت لم تكتمل أبدًا.
آلية الوكيل الإقامة (Residential Proxy Mechanism)
تُعد قدرة “Mirax” على العمل كوكيل إقامة واحدة من أخطر ميزاته، حيث تتجاوز بكثير ما يقدمه برنامج تروجان مصرفي عادي. باستخدام بروتوكول SOCKS5 وتكنولوجيا multiplexing Yamux عبر قنوات WebSocket، ينشئ البرنامج الخبيث نفق وكيل ثابت بين الهاتف المصاب وخادم مرحّل يتحكم فيه المهاجمون.
يسمح هذا للمشغلين بتوجيه نشاطهم عبر الإنترنت من خلال عنوان IP الفعلي للضحية، مما يجعل حركة المرور تبدو وكأنها قادمة من مستخدم منزلي عادي بدلاً من بنية تحتية إجرامية. التأثير العملي لهذا الأمر كبير؛ فمن خلال الوصول إلى عنوان IP الخاص بإقامة الضحية، يمكن للمهاجمين تجاوز القيود الجغرافية، والتهرب من أنظمة كشف الاحتيال، وتنفيذ هجمات مثل اختطاف الحسابات، أو الاحتيال على المعاملات، أو هجمات تمييز كلمات المرور، وكل ذلك بينما يبدون وكأنهم مستخدمو منازل عاديون.
كما لاحظ باحثو Cleafy أنه حتى عندما رفض المستخدمون طلب خدمات إمكانية الوصول، كان البرنامج الخبيث لا يزال قادرًا على تنشيط وحدة الوكيل الخاصة به باستخدام عدد أقل من الأذونات، مما يعني أن المشغلين يمكنهم تحقيق الربح من عمليات العدوى غير المكتملة بدلًا من التخلي عن تلك الأجهزة. يشير هذا إلى استراتيجية تحقيق ربح متطورة ومقصودة مدمجة في تصميم البرنامج الخبيث. يُنصح بشدة لمستخدمي أندرويد بتجنب تنزيل التطبيقات من خارج متجر Google Play، خاصة تلك المعلن عنها عبر وسائل التواصل الاجتماعي. كما أن مراجعة التطبيقات التي منحت صلاحيات خدمات إمكانية الوصول بشكل دوري وإلغاء الأذونات لأي تطبيق غير معروف يمكن أن يساعد في اكتشاف الاختراق قبل حدوث ضرر كبير.