.NET MAUI võlts Androidi rakendused

Küberturvalisuse eksperdid on avastanud uue Androidi pahavarakampaania, mis kasutab Microsofti .NET Multi-platform App UI (.NET MAUI) raamistikku. Need ähvardavad rakendused, mis on maskeeritud pangandus- ja sotsiaalmeediarakendusteks, on peamiselt suunatud India ja hiina keelt kõnelevatele kasutajatele ning nende eesmärk on koguda tundlikku teavet.

Mis on .NET MAUI ja miks seda kasutatakse?

.NET MAUI on Microsofti platvormideülene raamistik C# ja XAML-i kasutavate omarakenduste arendamiseks. See arenes välja Xamarinist, pakkudes arendajatele sujuvamat viisi ühe projektiga mitme platvormi rakenduste loomiseks, võimaldades sealjuures kasutada platvormipõhist koodi.

Nimelt lõpetas Microsoft ametlikult Xamarini toe 1. mail 2024, julgustades arendajaid üle minema .NET MAUI-le. Ohutegijad on kiiresti kohanenud, kasutades seda raamistikku uue Androidi pahavara väljatöötamiseks, jätkates oma ründemeetodite täiustamise ja arendamise suundumust.

Kuidas .NET MAUI aitab pahavara tuvastamisest kõrvale hiilida?

Erinevalt tavapärastest Androidi rakendustest, mis põhinevad DEX-failidel ja omateekidel, salvestab .NET MAUI-põhine pahavara oma põhifunktsioonid C# blob-binaaridesse. See muudab tuvastamise keerulisemaks, kuna raamistik toimib pakkijana, mis aitab pahavara ohvriseadmetes avastamatult püsida.

NET MAUI-d kasutades saavad küberkurjategijad mitmeid eeliseid:

• Varjatud režiim : rikutud kood on peidetud C# binaarfailides, mistõttu on selle analüüsimine raskem.
• Pikendatud püsivus : pahavara jääb nakatunud seadmetesse kauemaks ilma turvahoiatusi käivitamata.
• Vältimistaktika : ebatavaline arhitektuur võimaldab traditsioonilistest turvakontrollidest mööda minna.

Tuvastati võltspangandus- ja sotsiaalmeediarakendused

Teadlased on tuvastanud mitu petturlikku rakendust, kasutades .NET MAUI-d, mida ühiselt nimetatakse FakeAppiks. Mõned tähelepanuväärsed võltsrakendused hõlmavad järgmist:

Võltsitud pangarakendused:

Induse krediitkaart (indus.credit.card)

Indusindi kaart (com.rewardz.card)

Võlts sotsiaalmeedia ja utiliidirakendused:

Cupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (eraalbum) (pBOnCi.cUVNXz)

小宇宙 (väike universum) (p9Z2Ej.cplkQv)

Need rakendused meelitavad kasutajaid neid installima, seejärel eraldavad need vaikselt ja edastavad nende isikuandmed ründaja kontrollitavasse serverisse.

Kuidas kasutajaid petta

Erinevalt Google Play kaudu levitatavatest seaduslikest rakendustest tuginevad need võltsrakendused levitamisel petlikule taktikale. Ründajad saadavad sõnumsiderakenduste kaudu petturlikke linke, mis suunavad kasutajad mitteametlikesse rakenduste poodidesse, kust nad pahavara teadmatult alla laadivad.

Näiteks:

• Võltspangarakendus kehastub India finantsasutusena, et varastada kasutajate täisnimesid, mobiilinumbreid, krediitkaardiandmeid ja valitsuse väljastatud isikutunnistusi.
• Petturlik sotsiaalmeediarakendus, mis jäljendab tähte "X" (endine Twitter), kogub kontakte, SMS-sõnumeid ja fotosid, sihites hiina keelt kõnelevaid kasutajaid.

Kasutatud täiustatud kõrvalehoidmise tehnikad

Tuvastamise vältimiseks kasutab pahavara mitut keerukat tehnikat:

• Krüpteeritud andmeedastus : kogutud andmed saadetakse käsu- ja juhtimisserverisse (C2), kasutades krüpteeritud pistikupesasidet.
• Võltsitud load : pahavara sisestab analüüsitööriistade segadusse ajamiseks faili AndroidManifest.xml mõttetuid õigusi (nt 'android.permission.LhSSzIw6q').
• Mitmeastmeline dünaamiline laadimine : see kasutab XOR-krüptitud laadijat, et käivitada AES-krüptitud kasulik koormus, mis seejärel laadib .NET MAUI komplektid, mis sisaldavad tegelikku pahavara.
• Kasutaja interaktsioon käivitab pahatahtlikud toimingud : põhikoormus jääb C#-koodis peidetuks, aktiveerudes ainult siis, kui kasutaja suhtleb rakendusega (nt vajutab nuppu). Sel hetkel varastab see vaikselt andmed ja edastab need C2 serverisse.

Kuidas turvaliselt püsida

Arvestades nende rünnakute keerukust, peaksid kasutajad enda kaitsmiseks astuma ennetavaid samme.

• Vältige kolmanda osapoole rakenduste poode – laadige rakendusi alla ainult Google Playst või usaldusväärsetest allikatest.
• Rakenduse lubade kontrollimine – olge tarbetuid lube taotlevate rakenduste suhtes ettevaatlik.
• Olge andmepüügilinkide suhtes valvel – ärge klõpsake sõnumites kahtlastel linkidel.
• Kasutage pahavaravastast tarkvara – installige usaldusväärne mobiiliturbelahendus potentsiaalsete ohtude tuvastamiseks ja eemaldamiseks.

Kuna küberkurjategijad arendavad pidevalt oma taktikat, on kursis olemine ja ettevaatlikkus nende esilekerkivate ohtude vastu parim kaitse.