Mirax RAT: el troyano Android que llegó por anuncios de Facebook y ya comprometió 220,000 cuentas en países hispanohablantes

Ibas scrolleando en Facebook y te salió un anuncio de una app para ver fútbol gratis. Lo descargaste, nunca funcionó bien y te quedaste con ganas de ver el partido. Lo que no sabías es que en ese momento le diste acceso total a tu teléfono a un equipo de hackers que ahora usa tu celular como nodo proxy para hacer sus fechorías sin que a ellos les caiga el veinte.

Eso es Mirax RAT, y ya tiene más de 220,000 cuentas comprometidas en países hispanohablantes.

Qué es Mirax y por qué se llama así

Mirax es un Remote Access Trojan (RAT) para Android que salió a la venta en foros underground el 19 de diciembre de 2025. Lo opera un actor que se hace llamar “Mirax Bot” y lo vende como un servicio privado: $2,500 dólares por suscripción de tres meses, o $1,750 al mes si quieres la versión ligera. No es un malware que cualquiera puede bajar de GitHub: según el análisis de Cleafy Threat Intelligence, el acceso está deliberadamente limitado a pocos afiliados con reputación en comunidades de habla rusa. Esto no es ransomware de garage, es un producto con soporte.

Lo más raro: en la documentación del propio malware está escrito que es incompatible con dispositivos en países de la CEI (Rusia, Ucrania, Kazajistán, etc.). El operador protege a su propia gente. Nosotros, en cambio, somos objetivo.

Cómo llegó a 220,000 cuentas sin que nadie se diera cuenta

El vector de infección es elegante en su cinismo: anuncios pagados en las propias plataformas de Meta. Facebook, Instagram, Messenger y Threads. The Hacker News documentó que uno solo de esos anuncios alcanzó a 190,987 cuentas a partir del 6 de abril de 2026. El anuncio promocionaba una supuesta app de streaming de deportes y películas gratis.

El flujo es este:

1. Ves el anuncio en Facebook/Instagram
2. Te manda a una web externa (dominio de entrega: descarga-smtr[.]net)
3. Descargas un APK fuera de Google Play
4. Al instalarlo, pide permisos de Accesibilidad
5. Le dices que sí (porque la app “necesita esos permisos para funcionar”)
6. Game over

La app dropper usa cifrado RC4 con llaves hardcodeadas y ofuscación Golden Encryption para esconder el payload real. Por eso los antivirus no lo detectan de entrada. Y rota sus hashes de muestra diariamente: el código es el mismo, pero la firma cambia cada 24 horas para burlar las firmas de los antivirus.

Qué hace con tu teléfono: la lista es larga

Una vez adentro, Mirax tiene control total. No exagero. Estas son sus capacidades documentadas:

• Keylogging: registra todo lo que escribes en cualquier app
• Screen capture y VNC: ve tu pantalla en tiempo real y puede controlar tu teléfono a distancia
• Overlays HTML: inyecta pantallas falsas encima de apps reales (tu banco, tu crypto wallet) para robarte las credenciales
• Interceptación de SMS: lee tus mensajes, incluyendo los de doble factor de autenticación
• Acceso a cámara y micrófono: activa la cámara para sacar fotos sin que lo notes
• GPS en tiempo real: sabe dónde estás
• Registro de llamadas y archivos: exfiltra todo lo que necesite

Y tiene más de 182 apps bancarias y de criptomonedas en su lista de objetivos. Si usas la app de tu banco en el mismo teléfono infectado, ya saben tus credenciales.

Lo que hace diferente a Mirax de otros RATs: la trampa del proxy

La mayoría de los RATs de Android roban datos y punto. Mirax va más lejos y tiene una función que lo pone en otra categoría: convierte tu celular en un nodo proxy residencial SOCKS5.

¿Qué significa esto en cristiano? Que los hackers pueden tunelizar su tráfico a través de tu IP. Si están haciendo fraude bancario, ciberataques o cualquier otra cosa, parece que lo está haciendo tu celular, desde tu dirección IP, desde tu ciudad. Tú quedas como sospechoso potencial. Ellos, invisibles.

Lo hacen usando el protocolo Yamux sobre canales WebSocket en tres puertos: 8443 para comandos, 8444 para exfiltración de datos y 8445 para el proxy SOCKS5. La infraestructura de comando y control está en el dominio ilovepng[.]info.

Esto es lo que lo hace particularmente peligroso: no solo te roba, sino que te convierte en cómplice sin saberlo. Una chimba de diseño, si te pones en los zapatos del atacante.

Como escribimos cuando analizamos Darksword, el spyware que hackeaba iPhones con solo abrir una página web, el patrón es el mismo: el usuario promedio no tiene ninguna pista de que algo pasa hasta que es demasiado tarde.

¿Cómo saber si te infectó?

Señales de alerta en tu teléfono Android:

• Una app que pedía permisos de Accesibilidad y no la recuerdas haber activado
• La batería se drena más rápido de lo normal sin causa aparente
• El teléfono se calienta incluso en reposo
• Datos móviles consumidos en segundo plano sin que uses el teléfono
• Actividad extraña en tus cuentas de Facebook o Instagram: mensajes que no mandaste, publicaciones que no hiciste

Para verificar en Android:

1. Ve a Configuración > Accesibilidad > Apps instaladas
2. Revisa si hay alguna app con permisos de accesibilidad que no reconoces
3. Ve a Configuración > Apps > Permisos y revisa apps con acceso a SMS, micrófono y cámara que no deberían tenerlo

Si en tu cuenta de Meta ves sesiones activas en dispositivos raros: Configuración de Facebook > Seguridad e inicio de sesión > Dónde iniciaste sesión. Si hay algo que no reconoces, cierra esa sesión de inmediato.

Cómo eliminarlo y protegerte

Si crees que ya estás infectado:

1. Revoca todos los permisos de Accesibilidad de apps sospechosas (Configuración > Accesibilidad)
2. Desinstala la app sospechosa
3. Cambia tus contraseñas de Meta, banco y criptos desde otro dispositivo limpio
4. Activa la verificación en dos pasos con app de autenticación (no SMS, ya que Mirax intercepta SMS)
5. Considera hacer un factory reset si sigues viendo comportamiento raro

Para no infectarte:

• Solo descarga apps desde Google Play, nunca desde links en anuncios de redes sociales
• Desconfía de cualquier app que prometa streaming gratuito de deportes o películas: es el anzuelo favorito
• Activa Google Play Protect (Configuración > Seguridad > Google Play Protect): detecta versiones conocidas de Mirax
• Nunca le des permisos de Accesibilidad a una app de entretenimiento, eso es una red flag inmediata
• Si un anuncio te manda a descargar algo fuera de la Play Store, cierra esa tab

El problema de Meta como vector

Hay algo que no podemos ignorar: este ataque no sería posible sin que los anuncios maliciosos pasaran los filtros de Meta. Un solo anuncio llegó a casi 191,000 personas. Eso es un fallo de moderación serio.

Security Affairs documentó que la campaña lleva activa desde marzo de 2026, lo que significa semanas de anuncios activos pagados distribuyendo malware en las propias plataformas de la compañía. Es el mismo patrón que vimos cuando analizamos el escándalo de privacidad de Meta con sus lentes inteligentes: la empresa tiene un problema sistémico con controlar lo que ocurre en su ecosistema cuando hay dinero de por medio.

México es uno de los mercados hispanohablantes más grandes de Meta. Si los anuncios apuntaban a países de habla hispana, hay una probabilidad real de que usuarios mexicanos estén entre los 220,000 afectados.

¿Ya checaste tus permisos de accesibilidad? Hazlo ahorita, no cuando ya sea tarde.

---

¿Tienes dudas sobre cómo verificar si tu cuenta de Meta fue comprometida? Deja tu pregunta en los comentarios.

Fuentes

• The Hacker News: Mirax Android RAT Turns Devices into SOCKS5 Proxies, Reaching 220,000 via Meta Ads
• Cleafy Labs: Mirax, a new Android RAT turning infected devices into potential residential proxy nodes
• Security Affairs: Mirax malware campaign hits 220K accounts, enables full remote control
• BankInfoSecurity: Mirax RAT Targets Android Devices Through Meta Apps
• CyberSecurityNews: New Mirax Android RAT Turns Infected Phones Into Residential Proxy Nodes