.NET MAUI Falske Android-apps

Cybersikkerhedseksperter har afsløret en ny Android-malwarekampagne, der udnytter Microsofts .NET Multi-platform App UI (.NET MAUI)-ramme. Forklædt som bank- og sociale medieapplikationer er disse truende applikationer primært rettet mod indiske og kinesisktalende brugere og har til formål at indsamle følsomme oplysninger.

Hvad er .NET MAUI, og hvorfor bliver det brugt?

.NET MAUI er Microsofts cross-platform framework til udvikling af native applikationer ved hjælp af C# og XAML. Det udviklede sig fra Xamarin, der tilbyder udviklere en strømlinet måde at skabe multi-platform applikationer med et enkelt projekt, mens den tillader platformsspecifik kode, hvor det er nødvendigt.

Navnlig afsluttede Microsoft officielt support til Xamarin den 1. maj 2024, hvilket opmuntrede udviklere til at gå over til .NET MAUI. Trusselsaktører har hurtigt tilpasset sig og udnyttet denne ramme til at udvikle ny Android-malware og fortsætter deres trend med at forfine og udvikle angrebsmetoder.

Hvordan .NET MAUI hjælper med at undgå registrering af malware

I modsætning til traditionelle Android-applikationer, som er afhængige af DEX-filer og native biblioteker, gemmer den .NET MAUI-baserede malware sine kernefunktioner i C# blob-binære filer. Dette gør detektion mere udfordrende, da rammen fungerer som en pakker, der hjælper malwaren med at fortsætte uopdaget på ofrets enheder.

Ved at bruge .NET MAUI får cyberkriminelle flere fordele:

• Stealth Mode : Den korrupte kode er skjult i C# binære filer, hvilket gør det sværere at analysere.
• Udvidet persistens : Malwaren forbliver på inficerede enheder længere uden at udløse sikkerhedsadvarsler.
• Undvigelsestaktik : Den utraditionelle arkitektur gør det muligt at omgå traditionelle sikkerhedsscanninger.

Identificeret falske bank- og sociale medieapplikationer

Forskere har identificeret adskillige svigagtige apps ved hjælp af .NET MAUI, der tilsammen kaldes FakeApp. Nogle af de bemærkelsesværdige falske applikationer inkluderer:

Falske bankapplikationer:

Indus kreditkort (indus.credit.card)

Indusind-kort (com.rewardz.card)

Falske sociale medier og hjælpeprogrammer:

Amor (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Privat Album) (pBOnCi.cUVNXz)

小宇宙 (Lille univers) (p9Z2Ej.cplkQv)

Disse applikationer narre brugere til at installere dem, og derefter udtrække og sende deres personlige data stille og roligt til en angriberstyret server.

Hvordan brugere bliver snydt

I modsætning til legitime applikationer distribueret gennem Google Play, er disse falske applikationer afhængige af vildledende taktikker til distribution. Angribere sender svigagtige links gennem meddelelsesapplikationer, hvilket fører brugere til uofficielle appbutikker, hvor de ubevidst downloader malwaren.

For eksempel:

• En falsk bankapplikation efterligner en indisk finansiel institution for at stjæle brugernes fulde navne, mobilnumre, kreditkortoplysninger og statsudstedte id'er.
• En svigagtig social medie-app, der efterligner "X" (tidligere Twitter) høster kontakter, SMS-beskeder og fotos, rettet mod kinesisktalende brugere.

De avancerede undvigelsesteknikker, der anvendes

For at undgå opdagelse anvender malwaren flere sofistikerede teknikker:

• Krypteret datatransmission : Høstede data sendes til en Command-and-Control-server (C2) ved hjælp af krypteret socket-kommunikation.
• Falske tilladelser : Malwaren injicerer meningsløse tilladelser (f.eks. 'android.permission.LhSSzIw6q') i AndroidManifest.xml-filen for at forvirre analyseværktøjer.
• Multi-Stage Dynamic Loading : Den bruger en XOR-krypteret loader til at starte en AES-krypteret nyttelast, som derefter indlæser .NET MAUI-samlingerne, der indeholder den faktiske malware.
• Brugerinteraktion udløser ondsindede handlinger : Kernenyttelasten forbliver skjult i C#-koden og aktiveres kun, når brugeren interagerer med appen (f.eks. ved at trykke på en knap). På det tidspunkt stjæler den data og sender dem til C2-serveren.

Sådan forbliver du sikker

I betragtning af den stigende sofistikering af disse angreb bør brugerne tage proaktive skridt for at beskytte sig selv:

• Undgå tredjeparts App Stores – Download kun applikationer fra Google Play eller betroede kilder.
• Bekræft applikationstilladelser – Vær forsigtig med applikationer, der anmoder om unødvendige tilladelser.
• Vær opmærksom på phishing-links – Klik ikke på mistænkelige links i meddelelser.
• Brug Anti-Malware-software – Installer en pålidelig mobil sikkerhedsløsning til at opdage og fjerne potentielle trusler.

Da cyberkriminelle løbende udvikler deres taktik, er det bedste forsvar mod disse nye trusler at holde sig informeret og forsigtig.