Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware .NET MAUI Falešné aplikace pro Android

.NET MAUI Falešné aplikace pro Android

V roce Mezo v roce Mobilní malware
Přeložit do:
Čeština

Odborníci na kybernetickou bezpečnost odhalili novou malwarovou kampaň pro Android, která využívá rámec Microsoft .NET Multi-platform App UI (.NET MAUI). Tyto hrozivé aplikace, maskované jako bankovní aplikace a aplikace sociálních médií, cílí především na indické a čínsky mluvící uživatele a jejich cílem je shromažďovat citlivé informace.

Co je .NET MAUI a proč se používá?

.NET MAUI je multiplatformní rámec společnosti Microsoft pro vývoj nativních aplikací pomocí C# a XAML. Vyvinul se z Xamarin a nabízí vývojářům efektivní způsob vytváření multiplatformních aplikací s jediným projektem a zároveň umožňuje kód specifický pro platformu tam, kde je to potřeba.

Microsoft oficiálně ukončil podporu pro Xamarin 1. května 2024, čímž povzbudil vývojáře k přechodu na .NET MAUI. Aktéři hrozeb se rychle přizpůsobili a využili tento rámec k vývoji nového malwaru pro Android a pokračovali ve svém trendu zdokonalování a vyvíjení metod útoků.

Jak .NET MAUI pomáhá malwaru uniknout detekci

Na rozdíl od tradičních aplikací pro Android, které se spoléhají na soubory DEX a nativní knihovny, malware založený na .NET MAUI ukládá své základní funkce v binárních souborech objektů C#. Díky tomu je detekce náročnější, protože framework funguje jako balič, který pomáhá malwaru přetrvávat nedetekován na zařízeních obětí.

Využitím .NET MAUI získají kyberzločinci několik výhod:

  • Stealth Mode : Poškozený kód je skrytý v binárních souborech C#, takže je obtížnější jej analyzovat.
  • Extended Persistence : Malware zůstává na infikovaných zařízeních déle, aniž by spouštěl bezpečnostní výstrahy.
  • Taktika úniku : Nekonvenční architektura umožňuje obejít tradiční bezpečnostní kontroly.

Byly identifikovány falešné bankovní a sociální aplikace

Výzkumníci identifikovali několik podvodných aplikací pomocí .NET MAUI, společně označovaného jako FakeApp. Některé z pozoruhodných falešných aplikací zahrnují:

Falešné bankovní aplikace:

Kreditní karta Indus (indus.credit.card)

Indusind Card (com.rewardz.card)

Falešné sociální sítě a obslužné aplikace:

Cupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (soukromé album) (pBOnCi.cUVNXz)

小宇宙 (Malý vesmír) (p9Z2Ej.cplkQv)

Tyto aplikace oklamou uživatele, aby si je nainstalovali, poté tiše extrahují a přenesou jejich osobní údaje na server ovládaný útočníkem.

Jak jsou uživatelé klamáni

Na rozdíl od legitimních aplikací distribuovaných prostřednictvím Google Play se tyto falešné aplikace při distribuci spoléhají na klamavou taktiku. Útočníci odesílají podvodné odkazy prostřednictvím aplikací pro zasílání zpráv, což uživatele vede do neoficiálních obchodů s aplikacemi, kde si nevědomky stahují malware.

Například:

  • Falešná bankovní aplikace se vydává za indickou finanční instituci za účelem krádeže úplných jmen uživatelů, mobilních čísel, údajů o kreditních kartách a státem vydaných průkazů totožnosti.
  • Podvodná aplikace sociálních médií napodobující „X“ (dříve Twitter) sbírá kontakty, SMS zprávy a fotografie a zaměřuje se na čínsky mluvící uživatele.

Použité pokročilé techniky úniku

Aby se zabránilo odhalení, malware využívá několik sofistikovaných technik:

  • Šifrovaný přenos dat : Shromážděná data jsou odesílána na server Command-and-Control (C2) pomocí šifrované soketové komunikace.
  • Falešná oprávnění : Malware vkládá nesmyslná oprávnění (např. 'android.permission.LhSSzIw6q') do souboru AndroidManifest.xml, aby zmátl analytické nástroje.
  • Vícefázové dynamické načítání : Využívá zavaděč šifrovaný XOR ke spuštění užitečného zatížení šifrovaného AES, které pak načte sestavy .NET MAUI obsahující skutečný malware.
  • Uživatelská interakce spouští škodlivé akce : Základní užitečné zatížení zůstává skryté v kódu C# a aktivuje se pouze tehdy, když uživatel interaguje s aplikací (např. stisknutím tlačítka). V tomto okamžiku tiše ukradne data a přenese je na server C2.

Jak zůstat v bezpečí

Vzhledem k rostoucí propracovanosti těchto útoků by uživatelé měli podniknout proaktivní kroky, aby se ochránili:

  • Vyhněte se obchodům s aplikacemi třetích stran – stahujte aplikace pouze z Google Play nebo z důvěryhodných zdrojů.
  • Ověřte oprávnění aplikací – Buďte opatrní, když aplikace požadují zbytečná oprávnění.
  • Buďte ve střehu před phishingovými odkazy – Neklikejte na podezřelé odkazy ve zprávách.
  • Používejte software Anti-Malware – Nainstalujte si spolehlivé mobilní bezpečnostní řešení pro detekci a odstranění potenciálních hrozeb.

Vzhledem k tomu, že kyberzločinci neustále vyvíjejí své taktiky, je nejlepší obranou proti těmto vznikajícím hrozbám zůstat informovaný a obezřetný.

Trendy

Mail Cloud Server E-mailový podvod

Phishing, Spam
Internet je plný podvodných schémat navržených ke zneužití nic netušících uživatelů, takže je nezbytné zůstat při procházení a vyřizování e-mailů obezřetní. Phishingové útoky, jako je e-mailový podvod Mail Cloud Server, patří mezi nejčastější hrozby, které využívají taktiku sociálního inženýrství ke krádeži citlivých informací. Díky pochopení toho, jak tento podvod funguje, mohou uživatelé...

Chyba zabezpečení CVE-2025-24201

Zranitelnost
Apple oznámil vydání kritické bezpečnostní aktualizace, která opravuje zranitelnost zero-day, označenou jako CVE-2025-24201. Tato chyba, která byla aktivně využívána při „extrémně sofistikovaných“ útocích, ovlivňuje jádro webového prohlížeče WebKit. Problém se týká zranitelnosti pro zápis mimo hranice, která by mohla útočníkům umožnit obejít sandbox Web Content a potenciálně ohrozit zabezpečení...

Nejvíce shlédnuto

Načítání...