Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma .NET MAUI väärennetyt Android-sovellukset

.NET MAUI väärennetyt Android-sovellukset

Vuonna Mezo vuonna Mobiili haittaohjelma
Käännä:
Suomi

Kyberturvallisuusasiantuntijat ovat paljastaneet uuden Android-haittaohjelmakampanjan, joka hyödyntää Microsoftin .NET Multi-platform App UI (.NET MAUI) -kehystä. Nämä pankki- ja sosiaalisen median sovelluksiksi naamioituneet uhkaavat sovellukset kohdistuvat ensisijaisesti intialaisiin ja kiinankielisiin käyttäjiin ja pyrkivät keräämään arkaluonteisia tietoja.

Mikä on .NET MAUI ja miksi sitä käytetään?

.NET MAUI on Microsoftin cross-platform-kehys natiivisovellusten kehittämiseen C#- ja XAML-kieltä. Se kehittyi Xamarinista tarjoten kehittäjille virtaviivaistetun tavan luoda usean alustan sovelluksia yhdellä projektilla samalla kun se sallii alustakohtaisen koodin tarvittaessa.

Erityisesti Microsoft lopetti virallisesti Xamarinin tuen 1. toukokuuta 2024 ja rohkaisi kehittäjiä siirtymään .NET MAUI:iin. Uhkatoimijat ovat sopeutuneet nopeasti hyödyntäen tätä kehystä uusien Android-haittaohjelmien kehittämiseen ja jatkaneet hyökkäysmenetelmien hiomista ja kehittämistä.

Kuinka .NET MAUI auttaa haittaohjelmia välttämään havaitsemisen

Toisin kuin perinteiset Android-sovellukset, jotka perustuvat DEX-tiedostoihin ja alkuperäisiin kirjastoihin, .NET MAUI -pohjainen haittaohjelma tallentaa ydintoimintonsa C# blob -binääriin. Tämä tekee havaitsemisesta haastavampaa, koska kehys toimii pakkaajana, joka auttaa haittaohjelmia pysymään havaitsematta uhrilaitteilla.

NET MAUI:ta hyödyntämällä kyberrikolliset saavat useita etuja:

  • Stealth Mode : Vioittunut koodi on piilotettu C#-binäärien sisällä, mikä vaikeuttaa analysointia.
  • Pidennetty pysyvyys : Haittaohjelma pysyy tartunnan saaneilla laitteilla pidempään ilman suojaushälytyksiä.
  • Evasion Tactics : Epätavallinen arkkitehtuuri mahdollistaa perinteisen turvatarkistuksen ohituksen.

Väärennetyt pankki- ja sosiaalisen median sovellukset tunnistettu

Tutkijat ovat tunnistaneet useita vilpillisiä sovelluksia käyttämällä .NET MAUI:ta, jota kutsutaan yhteisesti nimellä FakeApp. Jotkut merkittävistä väärennetyistä sovelluksista ovat:

Väärennetyt pankkisovellukset:

Indus-luottokortti (indus.credit.card)

Indusind-kortti (com.rewardz.card)

Väärennetyt sosiaalisen median ja apuohjelmat:

Cupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (yksityinen albumi) (pBOnCi.cUVNXz)

小宇宙 (Little Universe) (p9Z2Ej.cplkQv)

Nämä sovellukset huijaavat käyttäjiä asentamaan ne, sitten poimivat ja lähettävät heidän henkilökohtaiset tietonsa hiljaa hyökkääjän hallitsemalle palvelimelle.

Kuinka käyttäjiä huijataan

Toisin kuin Google Playn kautta jaettavat lailliset sovellukset, näiden väärennettyjen sovellusten jakelu perustuu petolliseen taktiikkaan. Hyökkääjät lähettävät vilpillisiä linkkejä viestisovellusten kautta, mikä johtaa käyttäjät epävirallisiin sovelluskauppoihin, joista he tietämättään lataavat haittaohjelman.

Esimerkiksi:

  • Väärennetty pankkisovellus jäljittelee intialaista rahoituslaitosta varastaakseen käyttäjien koko nimet, matkapuhelinnumerot, luottokorttitiedot ja viranomaisten myöntämät henkilötodistukset.
  • Petollinen sosiaalisen median sovellus, joka jäljittelee "X":tä (entinen Twitter), kerää yhteystietoja, tekstiviestejä ja valokuvia kohdentaen kiinankielisiä käyttäjiä.

Käytetyt kehittyneet evaasiotekniikat

Haittaohjelman havaitsemisen välttämiseksi se käyttää useita kehittyneitä tekniikoita:

  • Salattu tiedonsiirto : Kerätyt tiedot lähetetään Command-and-Control (C2) -palvelimelle käyttämällä salattua socket-tietoliikennettä.
  • Väärennetyt käyttöoikeudet : Haittaohjelma lisää merkityksettömiä käyttöoikeuksia (esim. "android.permission.LhSSzIw6q") AndroidManifest.xml-tiedostoon hämmentääkseen analyysityökaluja.
  • Monivaiheinen dynaaminen lataus : Se käyttää XOR-salattua latausohjelmaa käynnistämään AES-salatun hyötykuorman, joka sitten lataa .NET MAUI -kokoonpanot, jotka sisältävät todellisen haittaohjelman.
  • Käyttäjän vuorovaikutus laukaisee haitallisia toimia : Ydinhyötykuorma pysyy piilossa C#-koodissa ja aktivoituu vain, kun käyttäjä on vuorovaikutuksessa sovelluksen kanssa (esim. painaa painiketta). Siinä vaiheessa se varastaa hiljaa tiedot ja lähettää sen C2-palvelimelle.

Kuinka pysyä turvassa

Koska nämä hyökkäykset kehittyvät jatkuvasti, käyttäjien tulee ryhtyä ennakoiviin toimiin suojatakseen itsensä:

  • Vältä kolmannen osapuolen sovelluskauppoja – lataa sovelluksia vain Google Playsta tai luotettavista lähteistä.
  • Tarkista sovelluksen käyttöoikeudet – Ole varovainen sovellusten kanssa, jotka pyytävät tarpeettomia käyttöoikeuksia.
  • Pysy valppaana tietojenkalastelulinkkien varalta – Älä napsauta viesteissä olevia epäilyttäviä linkkejä.
  • Käytä haittaohjelmien torjuntaohjelmistoa – Asenna luotettava mobiilitietoturvaratkaisu mahdollisten uhkien havaitsemiseen ja poistamiseen.

Kyberrikolliset kehittävät jatkuvasti taktiikkaansa, joten ajan tasalla pysyminen ja varovaisuus on paras suoja näitä uusia uhkia vastaan.

Trendaavat

Mail Cloud Server -sähköpostihuijaus

Tietojenkalastelu, Roskaposti
Internet on täynnä petollisia järjestelmiä, jotka on suunniteltu hyväkseen hyväuskoisia käyttäjiä, minkä vuoksi on tärkeää pysyä varovaisena selatessasi ja käsiteltäessä sähköposteja. Tietojenkalasteluhyökkäykset, kuten Mail Cloud Server -sähköpostihuijaus, ovat yleisimpiä uhkia, joissa käytetään sosiaalisen manipuloinnin taktiikkaa arkaluonteisten tietojen varastamiseen. Ymmärtämällä, miten...

Eniten katsottu

Ladataan...