عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرامج الضارة للأجهزة المحمولة تطبيقات Android المزيفة .NET MAUI

تطبيقات Android المزيفة .NET MAUI

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة
ترجمة الى:
العربية

كشف خبراء الأمن السيبراني عن حملة برمجيات خبيثة جديدة تستهدف نظام أندرويد، تستغل إطار عمل .NET متعدد المنصات (.NET MAUI) من مايكروسوفت. هذه التطبيقات الخطيرة، المتخفية في صورة تطبيقات مصرفية وتطبيقات تواصل اجتماعي، تستهدف بشكل رئيسي المستخدمين الناطقين باللغتين الهندية والصينية، وتهدف إلى جمع معلومات حساسة.

ما هو .NET MAUI ولماذا يتم استخدامه؟

.NET MAUI هو إطار عمل مايكروسوفت متعدد المنصات لتطوير تطبيقات أصلية باستخدام C# وXAML. وهو متطور من Xamarin، مما يوفر للمطورين طريقة مبسطة لإنشاء تطبيقات متعددة المنصات بمشروع واحد، مع السماح باستخدام أكواد خاصة بالمنصة عند الحاجة.

تجدر الإشارة إلى أن مايكروسوفت أوقفت دعم Xamarin رسميًا في 1 مايو 2024، مشجعةً المطورين على الانتقال إلى واجهة المستخدم .NET MAUI. وقد تكيفت الجهات الفاعلة في مجال التهديدات بسرعة، مستغلةً هذا الإطار لتطوير برامج ضارة جديدة لنظام Android، مواصلةً بذلك نهجها في تحسين أساليب الهجوم وتطويرها.

كيف يساعد .NET MAUI في تجنب اكتشاف البرامج الضارة

بخلاف تطبيقات أندرويد التقليدية، التي تعتمد على ملفات DEX والمكتبات الأصلية، يخزن البرنامج الخبيث المستند إلى .NET MAUI وظائفه الأساسية في ملفات ثنائية بلغة C#. هذا يُصعّب عملية الكشف، إذ يعمل الإطار كعامل حزم يُساعد البرنامج الخبيث على البقاء دون أن يُكتشف على الأجهزة المُستهدفة.

من خلال الاستفادة من .NET MAUI، يحصل مجرمو الإنترنت على العديد من المزايا:

  • وضع التخفي : يتم إخفاء الكود الفاسد داخل ثنائيات C#، مما يجعل تحليله أكثر صعوبة.
  • استمرار ممتد : يظل البرنامج الضار موجودًا على الأجهزة المصابة لفترة أطول دون إثارة تنبيهات أمنية.
  • تكتيكات التهرب : تسمح البنية غير التقليدية بتجاوز عمليات فحص الأمان التقليدية.

تم تحديد تطبيقات مزيفة للخدمات المصرفية ووسائل التواصل الاجتماعي

حدد الباحثون العديد من التطبيقات الاحتيالية التي تستخدم واجهة المستخدم .NET MAUI، والمعروفة باسم FakeApp. من أبرز هذه التطبيقات:

تطبيقات مصرفية وهمية:

بطاقة إندوس الائتمانية (indus.credit.card)

بطاقة إندوسيند (com.rewardz.card)

تطبيقات التواصل الاجتماعي والتطبيقات الخدمية المزيفة:

كيوبيد (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (ميشينج) (pCDhCg.cEOngl)

私密相册 (ألبوم خاص) (pBOnCi.cUVNXz)

小宇宙 (الكون الصغير) (p9Z2Ej.cplkQv)

تخدع هذه التطبيقات المستخدمين لتثبيتها، ثم تستخرج بياناتهم الشخصية بصمت وتنقلها إلى خادم يتحكم فيه المهاجم.

كيف يتم خداع المستخدمين

بخلاف التطبيقات الرسمية الموزعة عبر جوجل بلاي، تعتمد هذه التطبيقات المزيفة على أساليب احتيالية في التوزيع. يرسل المهاجمون روابط احتيالية عبر تطبيقات المراسلة، مما يوجه المستخدمين إلى متاجر تطبيقات غير رسمية، حيث يقومون بتنزيل البرامج الضارة دون علمهم.

على سبيل المثال:

  • تطبيق مصرفي مزيف ينتحل صفة مؤسسة مالية هندية لسرقة الأسماء الكاملة للمستخدمين وأرقام الهواتف المحمولة وتفاصيل بطاقات الائتمان وبطاقات الهوية الصادرة عن الحكومة.
  • يقوم تطبيق احتيالي على وسائل التواصل الاجتماعي يقلد "X" (المعروف سابقًا باسم Twitter) بجمع جهات الاتصال والرسائل النصية القصيرة والصور، مستهدفًا المستخدمين الناطقين باللغة الصينية.

تقنيات التهرب المتقدمة المستخدمة

لتجنب الكشف، يستخدم البرنامج الخبيث العديد من التقنيات المتطورة:

  • نقل البيانات المشفرة : يتم إرسال البيانات المحصودة إلى خادم القيادة والتحكم (C2) باستخدام اتصالات المقبس المشفرة.
  • الأذونات المزيفة : تقوم البرامج الضارة بحقن أذونات لا معنى لها (على سبيل المثال، 'android.permission.LhSSzIw6q') في ملف AndroidManifest.xml لإرباك أدوات التحليل.
  • التحميل الديناميكي متعدد المراحل : يستخدم محملًا مشفرًا بتقنية XOR لتشغيل حمولة مشفرة بتقنية AES، والتي تقوم بعد ذلك بتحميل مجموعات .NET MAUI التي تحتوي على البرامج الضارة الفعلية.
  • تفاعل المستخدم يُفعّل إجراءات ضارة : تبقى الحمولة الأساسية مخفية في شيفرة C#، ولا تُفعّل إلا عند تفاعل المستخدم مع التطبيق (مثلاً، الضغط على زر). عندها، تسرق البيانات بصمت وتنقلها إلى خادم C2.

كيفية البقاء آمنًا

ونظراً للتطور المتزايد لهذه الهجمات، يتعين على المستخدمين اتخاذ خطوات استباقية لحماية أنفسهم:

  • تجنب متاجر التطبيقات التابعة لجهات خارجية – قم بتنزيل التطبيقات من Google Play أو المصادر الموثوقة فقط.
  • التحقق من أذونات التطبيق - كن حذرًا من التطبيقات التي تطلب أذونات غير ضرورية.
  • كن حذرًا من روابط التصيد الاحتيالي - لا تنقر على الروابط المشبوهة في الرسائل.
  • استخدم برامج مكافحة البرامج الضارة - قم بتثبيت حل أمان محمول موثوق به للكشف عن التهديدات المحتملة وإزالتها.

مع استمرار مجرمو الإنترنت في تطوير أساليبهم، فإن البقاء مطلعًا والحذر هو أفضل وسيلة للدفاع ضد هذه التهديدات الناشئة.

الشائع

احتيال البريد الإلكتروني لخادم Mail Cloud

التصيد الاحتيالي, رسائل إلكترونية مزعجة
الإنترنت مليء بالمخططات الخادعة المصممة لاستغلال المستخدمين الغافلين، مما يجعل من الضروري توخي الحذر أثناء تصفح البريد الإلكتروني والتعامل معه. تُعد هجمات التصيد الاحتيالي، مثل عملية احتيال البريد الإلكتروني التي تستهدف خادم Mail Cloud، من أكثر التهديدات شيوعًا، حيث تستخدم أساليب الهندسة الاجتماعية لسرقة المعلومات الحساسة. بفهم آلية عمل هذه الخدعة، يمكن للمستخدمين التعرف عليها ومنع الوقوع ضحية...

ثغرة CVE-2025-24201

وهن
أعلنت شركة Apple عن إصدار تحديث أمني بالغ الأهمية لإصلاح ثغرة أمنية جديدة، عُرفت برقم CVE-2025-24201. هذه الثغرة، التي استُغلت بنشاط في هجمات "معقدة للغاية"، تؤثر على محرك متصفح الويب WebKit. تتعلق المشكلة بثغرة كتابة خارج الحدود، قد تسمح للمهاجمين بتجاوز بيئة حماية محتوى الويب، مما قد يُعرّض أمان الجهاز للخطر. CVE-2025-24201: التفاصيل الفنية تُصنف ثغرة CVE-2025-24201 على أنها كتابة خارج...

الأكثر مشاهدة

جار التحميل...