قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل NET MAUI Fake Apps Android

NET MAUI Fake Apps Android

تا Mezo در بدافزار موبایل
ترجمه به:
فارسی

کارشناسان امنیت سایبری یک کمپین بدافزار اندروید جدید را کشف کرده اند که از چارچوب برنامه چند پلتفرمی دات نت مایکروسافت (NET MAUI) سوء استفاده می کند. این برنامه‌های تهدیدآمیز که به عنوان برنامه‌های بانکی و رسانه‌های اجتماعی پنهان شده‌اند، عمدتاً کاربران هندی و چینی زبان را هدف قرار می‌دهند و هدفشان جمع‌آوری اطلاعات حساس است.

NET MAUI چیست و چرا از آن استفاده می شود؟

NET MAUI چارچوب چند پلتفرمی مایکروسافت برای توسعه برنامه های کاربردی بومی با استفاده از C# و XAML است. این از Xamarin تکامل یافته است و به توسعه دهندگان راه ساده ای برای ایجاد برنامه های کاربردی چند پلتفرمی با یک پروژه واحد ارائه می دهد و در عین حال به کدهای مخصوص پلتفرم در صورت نیاز اجازه می دهد.

قابل ذکر است که مایکروسافت به طور رسمی پشتیبانی از Xamarin را در 1 مه 2024 پایان داد و توسعه دهندگان را تشویق کرد که به .NET MAUI منتقل شوند. عوامل تهدید به سرعت سازگار شده‌اند و از این چارچوب برای توسعه بدافزار جدید اندروید استفاده می‌کنند و روند خود را برای اصلاح و تکامل روش‌های حمله ادامه می‌دهند.

چگونه .NET MAUI به شناسایی بدافزارها کمک می کند

برخلاف برنامه‌های Android سنتی که به فایل‌های DEX و کتابخانه‌های بومی متکی هستند، بدافزار مبتنی بر MAUI دات نت عملکردهای اصلی خود را در باینری‌های حباب C# ذخیره می‌کند. این امر تشخیص را چالش‌برانگیزتر می‌کند، زیرا چارچوب به عنوان بسته‌کننده عمل می‌کند که به بدافزار کمک می‌کند تا در دستگاه‌های قربانی شناسایی نشده باقی بماند.

با استفاده از NET MAUI، مجرمان سایبری چندین مزیت به دست می آورند:

  • حالت مخفی : کدهای خراب در باینری های سی شارپ پنهان می شوند و تجزیه و تحلیل آن را سخت تر می کند.
  • ماندگاری طولانی : بدافزار برای مدت طولانی تری در دستگاه های آلوده بدون ایجاد هشدارهای امنیتی باقی می ماند.
  • تاکتیک های فرار : معماری غیر متعارف امکان دور زدن اسکن های امنیتی سنتی را فراهم می کند.

بانکداری جعلی و برنامه های شبکه های اجتماعی شناسایی شد

محققان چندین برنامه تقلبی را با استفاده از .NET MAUI شناسایی کرده اند که در مجموع به آن FakeApp می گویند. برخی از برنامه های جعلی قابل توجه عبارتند از:

برنامه های بانکی جعلی:

کارت اعتباری ایندوس (indus.credit.card)

کارت Indusind (com.rewardz.card)

رسانه های اجتماعی جعلی و برنامه های کاربردی:

کوپید (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (آلبوم خصوصی) (pBOnCi.cUVNXz)

小宇宙 (جهان کوچک) (p9Z2Ej.cplkQv)

این برنامه‌ها کاربران را فریب می‌دهند تا آن‌ها را نصب کنند، سپس اطلاعات شخصی آن‌ها را بی‌صدا استخراج و به یک سرور تحت کنترل مهاجم منتقل می‌کنند.

چگونه کاربران فریب می‌خورند

برخلاف برنامه‌های کاربردی قانونی که از طریق Google Play توزیع می‌شوند، این برنامه‌های جعلی برای توزیع به تاکتیک‌های فریبنده متکی هستند. مهاجمان از طریق برنامه‌های پیام‌رسان لینک‌های جعلی ارسال می‌کنند و کاربران را به فروشگاه‌های برنامه‌های غیررسمی هدایت می‌کنند که در آنجا ناآگاهانه بدافزار را دانلود می‌کنند.

به عنوان مثال:

  • یک برنامه بانکی جعلی جعل هویت یک موسسه مالی هندی است تا نام کامل، شماره تلفن همراه، جزئیات کارت اعتباری و شناسه های صادر شده توسط دولت را به سرقت ببرد.
  • یک برنامه شبکه اجتماعی تقلبی با تقلید از «X» (توئیتر سابق) مخاطبین، پیام‌های اس ام اس و عکس‌ها را جمع‌آوری می‌کند و کاربران چینی زبان را هدف قرار می‌دهد.

تکنیک های پیشرفته فرار استفاده شده

برای جلوگیری از شناسایی، بدافزار از چندین تکنیک پیچیده استفاده می کند:

  • انتقال داده های رمزگذاری شده : داده های برداشت شده با استفاده از ارتباطات سوکت رمزگذاری شده به سرور فرماندهی و کنترل (C2) ارسال می شود.
  • مجوزهای جعلی : بدافزار مجوزهای بی معنی (به عنوان مثال، 'android.permission.LhSSzIw6q') را به فایل AndroidManifest.xml تزریق می کند تا ابزارهای تجزیه و تحلیل را گیج کند.
  • بارگذاری پویا چند مرحله ای : از یک بارگیری رمزگذاری شده با XOR برای راه اندازی یک بارگذاری رمزگذاری شده با AES استفاده می کند، که سپس مجموعه های NET MAUI حاوی بدافزار واقعی را بارگیری می کند.
  • تعامل کاربر باعث ایجاد اقدامات مخرب می شود : محموله اصلی در کد سی شارپ پنهان می ماند و تنها زمانی فعال می شود که کاربر با برنامه تعامل داشته باشد (مثلاً فشار دادن یک دکمه). در آن مرحله، بی‌صدا داده‌ها را می‌دزدد و به سرور C2 منتقل می‌کند.

چگونه ایمن بمانیم

با توجه به پیچیدگی روزافزون این حملات، کاربران باید اقدامات پیشگیرانه ای برای محافظت از خود انجام دهند:

  • از فروشگاه‌های برنامه شخص ثالث اجتناب کنید – برنامه‌ها را فقط از Google Play یا منابع قابل اعتماد دانلود کنید.
  • تأیید مجوزهای برنامه - مراقب برنامه هایی باشید که مجوزهای غیر ضروری را درخواست می کنند.
  • برای پیوندهای فیشینگ هوشیار باشید - روی پیوندهای مشکوک در پیام ها کلیک نکنید.
  • از نرم افزار ضد بدافزار استفاده کنید – یک راه حل امنیتی قابل اعتماد برای موبایل برای شناسایی و حذف تهدیدات احتمالی نصب کنید.

با توجه به اینکه مجرمان سایبری به طور مداوم تاکتیک های خود را تغییر می دهند، آگاه بودن و محتاط ماندن بهترین دفاع در برابر این تهدیدات نوظهور است.

پرطرفدار

کلاهبرداری ایمیل سرور ابری ایمیل

فیشینگ, هرزنامه
اینترنت مملو از طرح‌های فریبنده است که برای بهره‌برداری از کاربران ناآگاه طراحی شده‌اند، که این امر باعث می‌شود در هنگام مرور و مدیریت ایمیل‌ها احتیاط کنید. حملات فیشینگ، مانند کلاهبرداری ایمیل Mail Cloud Server، یکی از رایج ترین تهدیدها هستند که از تاکتیک های مهندسی اجتماعی برای سرقت اطلاعات حساس استفاده می کنند. با درک نحوه عملکرد این کلاهبرداری، کاربران می توانند تشخیص دهند و از قربانی شدن...

آسیب پذیری CVE-2025-24201

آسیب پذیری
اپل از انتشار یک به‌روزرسانی امنیتی مهم برای رفع آسیب‌پذیری روز صفر با نام CVE-2025-24201 خبر داده است. این نقص، که به طور فعال در حملات "بسیار پیچیده" مورد سوء استفاده قرار گرفته است، موتور مرورگر وب WebKit را تحت تاثیر قرار می دهد. این مشکل شامل یک آسیب‌پذیری نوشتن خارج از محدوده است که می‌تواند به مهاجمان اجازه دهد تا جعبه ایمنی محتوای وب را دور بزنند و به طور بالقوه امنیت دستگاه را به خطر...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
28,661
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...