Aplicacions falses d'Android .NET MAUI

El Mezo el Programari maliciós mòbil

Traduir a:

Els experts en ciberseguretat han descobert una nova campanya de programari maliciós per a Android que explota el marc d'interfície d'usuari d'aplicacions multiplataforma .NET (.NET MAUI) de Microsoft. Disfressades d'aplicacions bancàries i de xarxes socials, aquestes aplicacions amenaçadores es dirigeixen principalment als usuaris de parla indi i xinesa i tenen com a objectiu recollir informació sensible.

Taula de continguts

Què és el .NET MAUI i per què s’utilitza?

El .NET MAUI és el marc multiplataforma de Microsoft per desenvolupar aplicacions natives utilitzant C# i XAML. Va evolucionar a partir de Xamarin, oferint als desenvolupadors una manera simplificada de crear aplicacions multiplataforma amb un únic projecte alhora que permetia el codi específic de la plataforma quan fos necessari.

En particular, Microsoft va finalitzar oficialment el suport per a Xamarin l'1 de maig de 2024, animant els desenvolupadors a fer la transició a .NET MAUI. Els actors de l'amenaça s'han adaptat ràpidament, aprofitant aquest marc per desenvolupar nou programari maliciós d'Android, continuant amb la seva tendència de perfeccionament i evolució dels mètodes d'atac.

Com .NET MAUI ajuda a evitar la detecció de programari maliciós

A diferència de les aplicacions tradicionals d'Android, que es basen en fitxers DEX i biblioteques natives, el programari maliciós basat en .NET MAUI emmagatzema les seves funcionalitats bàsiques en binaris blob C#. Això fa que la detecció sigui més difícil, ja que el marc actua com un empaquetador que ajuda al programari maliciós a persistir sense detectar-se als dispositius víctimes.

Mitjançant l'ús de .NET MAUI, els ciberdelinqüents obtenen diversos avantatges:

Mode sigil : el codi danyat s'amaga dins dels binaris C#, cosa que fa que sigui més difícil d'analitzar.
Persistència estesa : el programari maliciós roman als dispositius infectats més temps sense activar alertes de seguretat.
Tàctiques d'evasió : l'arquitectura no convencional permet evitar les exploracions de seguretat tradicionals.

S’han identificat aplicacions falses de banca i xarxes socials

Els investigadors han identificat diverses aplicacions fraudulentes mitjançant el .NET MAUI, conegut col·lectivament com a FakeApp. Algunes de les aplicacions falses notables inclouen:

Aplicacions bancàries falses:

Targeta de crèdit Indus (indus.credit.card)

Targeta Indusind (com.rewardz.card)

Aplicacions d'utilitat i xarxes socials falses:

Cupido (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (àlbum privat) (pBOnCi.cUVNXz)

小宇宙 (Petit Univers) (p9Z2Ej.cplkQv)

Aquestes aplicacions enganyen els usuaris perquè les instal·lin, després extreuen i transmeten silenciosament les seves dades personals a un servidor controlat per un atacant.

Com s’enganyen els usuaris

A diferència de les aplicacions legítimes distribuïdes a través de Google Play, aquestes aplicacions falses es basen en tàctiques enganyoses per a la seva distribució. Els atacants envien enllaços fraudulents a través d'aplicacions de missatgeria, portant els usuaris a botigues d'aplicacions no oficials on descarreguen el programari maliciós sense saber-ho.

Per exemple:

Una aplicació bancària falsa es fa passar per una institució financera índia per robar els noms complets, els números de mòbil, les dades de la targeta de crèdit i els documents d'identitat emesos pel govern dels usuaris.
Una aplicació de xarxes socials fraudulenta que imita "X" (anteriorment Twitter) recull contactes, missatges SMS i fotos, dirigides als usuaris de parla xinesa.

Les tècniques d’evasió avançades utilitzades

Per evitar la detecció, el programari maliciós utilitza diverses tècniques sofisticades:

Transmissió de dades xifrades : les dades recollides s'envien a un servidor d'ordres i control (C2) mitjançant una comunicació de socket xifrada.
Permisos falsos : el programari maliciós injecta permisos sense sentit (per exemple, "android.permission.LhSSzIw6q") al fitxer AndroidManifest.xml per confondre les eines d'anàlisi.
Càrrega dinàmica multietapa : utilitza un carregador xifrat amb XOR per llançar una càrrega útil xifrada amb AES, que després carrega els conjunts .NET MAUI que contenen el programari maliciós real.
La interacció de l'usuari desencadena accions malicioses : la càrrega útil principal roman oculta al codi C# i només s'activa quan l'usuari interactua amb l'aplicació (p. ex., prement un botó). En aquest moment, roba silenciosament dades i les transmet al servidor C2.

Com mantenir-se segur

Atesa la creixent sofisticació d'aquests atacs, els usuaris haurien de prendre mesures proactives per protegir-se:

Eviteu les botigues d'aplicacions de tercers : baixeu només aplicacions de Google Play o fonts de confiança.
Verifiqueu els permisos de l'aplicació : aneu amb compte amb les aplicacions que sol·licitin permisos innecessaris.
Estigueu alerta per als enllaços de pesca : no feu clic als enllaços sospitosos dels missatges.
Utilitzeu programari anti-malware : instal·leu una solució de seguretat mòbil fiable per detectar i eliminar possibles amenaces.

Amb els ciberdelinqüents que evolucionen contínuament les seves tàctiques, mantenir-se informat i prudent és la millor defensa contra aquestes amenaces emergents.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió

Aplicacions falses d'Android .NET MAUI

Què és el .NET MAUI i per què s’utilitza?

Com .NET MAUI ajuda a evitar la detecció de programari maliciós

S’han identificat aplicacions falses de banca i xarxes socials

Com s’enganyen els usuaris

Les tècniques d’evasió avançades utilitzades

Com mantenir-se segur

Enviar Comentari

Tendència

Behavior:Win64/Shaolaod.A Malware

Estafa de correu electrònic del servidor de núvol de...

Vulnerabilitat CVE-2025-24201

Més vist

Estafa de correu electrònic "Geek Squad".

Programari maliciós

Pop-Ups "El teu iPhone ha estat piratejat".