.NET MAUI Фалшиви приложения за Android
Експерти по киберсигурност разкриха нова кампания за злонамерен софтуер за Android, която експлоатира .NET Multi-platform App UI (.NET MAUI) рамка на Microsoft. Маскирани като приложения за банкиране и социални медии, тези заплашителни приложения са насочени основно към потребители, говорещи Индия и Китай, и имат за цел да събират чувствителна информация.
Съдържание
Какво представлява .NET MAUI и защо се използва?
.NET MAUI е крос-платформена рамка на Microsoft за разработване на родни приложения, използващи C# и XAML. Той еволюира от Xamarin, предлагайки на разработчиците рационализиран начин за създаване на мултиплатформени приложения с един проект, като същевременно позволява специфичен за платформата код, където е необходимо.
За отбелязване е, че Microsoft официално прекрати поддръжката за Xamarin на 1 май 2024 г., насърчавайки разработчиците да преминат към .NET MAUI. Актьорите на заплахи бързо се адаптираха, използвайки тази рамка за разработване на нов злонамерен софтуер за Android, продължавайки тенденцията си за усъвършенстване и развитие на методите за атака.
Как .NET MAUI помага на зловреден софтуер да избегне откриването
За разлика от традиционните приложения за Android, които разчитат на DEX файлове и собствени библиотеки, базираният на .NET MAUI зловреден софтуер съхранява основните си функционалности в двоични файлове на C# blob. Това прави откриването по-трудно, тъй като рамката действа като пакет, който помага на злонамерения софтуер да остане незабелязан на жертвените устройства.
Чрез използването на .NET MAUI киберпрестъпниците получават няколко предимства:
- Стелт режим : Повреденият код е скрит в двоични файлове на C#, което го прави по-труден за анализ.
- Удължена устойчивост : Зловреден софтуер остава на заразените устройства по-дълго, без да задейства предупреждения за сигурност.
- Тактики за избягване : Нетрадиционната архитектура позволява заобикаляне на традиционните сканирания за сигурност.
Идентифицирани са фалшиви приложения за банкиране и социални медии
Изследователите са идентифицирали множество измамни приложения, използващи .NET MAUI, наричани заедно FakeApp. Някои от забележителните фалшиви приложения включват:
Фалшиви банкови приложения:
Кредитна карта Indus (indus.credit.card)
Indusind Card (com.rewardz.card)
Фалшиви социални медии и помощни приложения:
Купидон (pommNC.csTgAT)
X•GDN (pgkhe9.ckJo4P)
迷城 (Míchéng) (pCDhCg.cEOngl)
私密相册 (частен албум) (pBOnCi.cUVNXz)
小宇宙 (Малка вселена) (p9Z2Ej.cplkQv)
Тези приложения подвеждат потребителите да ги инсталират, след което тихо извличат и предават личните им данни на сървър, контролиран от нападател.
Как потребителите биват измамени
За разлика от законните приложения, разпространявани чрез Google Play, тези фалшиви приложения разчитат на измамни тактики за разпространение. Нападателите изпращат измамни връзки чрез приложения за съобщения, водещи потребителите до неофициални магазини за приложения, където те несъзнателно изтеглят зловреден софтуер.
Например:
- Фалшиво банково приложение се представя за индийска финансова институция, за да открадне пълните имена на потребителите, мобилните им номера, данните за кредитни карти и издадените от правителството документи за самоличност.
- Измамно приложение за социални медии, имитиращо „X“ (бивш Twitter), събира контакти, SMS съобщения и снимки, насочени към потребители, говорещи китайски.
Използваните усъвършенствани техники за избягване
За да избегне откриването, зловредният софтуер използва множество сложни техники:
- Предаване на шифровани данни : Събраните данни се изпращат до сървър за командване и управление (C2) с помощта на шифрована комуникация чрез сокет.
- Фалшиви разрешения : Зловреден софтуер инжектира безсмислени разрешения (напр. „android.permission.LhSSzIw6q“) във файла AndroidManifest.xml, за да обърка инструментите за анализ.
- Многоетапно динамично зареждане : Използва XOR-криптиран товарач за стартиране на AES-криптиран полезен товар, който след това зарежда .NET MAUI модулите, съдържащи действителния зловреден софтуер.
- Взаимодействието на потребителя задейства злонамерени действия : Основният полезен товар остава скрит в кода на C#, като се активира само когато потребителят взаимодейства с приложението (напр. натискане на бутон). В този момент той тихо краде данни и ги предава на C2 сървъра.
Как да останем в безопасност
Като се има предвид нарастващата сложност на тези атаки, потребителите трябва да предприемат проактивни стъпки, за да се защитят:
- Избягвайте магазини за приложения на трети страни – изтегляйте приложения само от Google Play или надеждни източници.
- Проверете разрешенията за приложения – Бъдете внимателни с приложенията, изискващи ненужни разрешения.
- Бъдете нащрек за фишинг връзки – Не кликвайте върху подозрителни връзки в съобщенията.
- Използвайте софтуер против зловреден софтуер – Инсталирайте надеждно решение за мобилна сигурност, за да откриете и премахнете потенциални заплахи.
Тъй като киберпрестъпниците непрекъснато развиват своите тактики, информираността и предпазливостта са най-добрата защита срещу тези нововъзникващи заплахи.
