Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware .NET MAUI Lažne Android aplikacije

.NET MAUI Lažne Android aplikacije

Do Mezo. Mobilni malware. godine
Prevedi na:
Hrvatski

Stručnjaci za kibernetičku sigurnost otkrili su novu kampanju zlonamjernog softvera za Android koja iskorištava Microsoftov okvir .NET Multi-platform App UI (.NET MAUI). Prerušene u aplikacije za bankarstvo i društvene medije, ove prijeteće aplikacije primarno ciljaju na korisnike koji govore indijski i kineski i imaju za cilj prikupljanje osjetljivih informacija.

Što je .NET MAUI i zašto se koristi?

.NET MAUI je Microsoftov međuplatformski okvir za razvoj izvornih aplikacija koristeći C# i XAML. Razvio se iz Xamarina, nudeći programerima pojednostavljen način za stvaranje višeplatformskih aplikacija s jednim projektom, dok je dopuštao kod za specifičnu platformu gdje je to potrebno.

Naime, Microsoft je službeno ukinuo podršku za Xamarin 1. svibnja 2024., potičući programere da prijeđu na .NET MAUI. Akteri prijetnji brzo su se prilagodili, koristeći ovaj okvir za razvoj novog zlonamjernog softvera za Android, nastavljajući svoj trend usavršavanja i razvoja metoda napada.

Kako .NET MAUI pomaže u izbjegavanju otkrivanja zlonamjernog softvera

Za razliku od tradicionalnih Android aplikacija, koje se oslanjaju na DEX datoteke i izvorne biblioteke, zlonamjerni softver temeljen na .NET MAUI-u pohranjuje svoje temeljne funkcije u C# blob binarnim datotekama. To čini otkrivanje još većim izazovom, jer okvir djeluje kao paket koji pomaže zlonamjernom softveru da ostane neotkriven na žrtvi uređaja.

Korištenjem .NET MAUI-ja kibernetički kriminalci dobivaju nekoliko prednosti:

  • Stealth Mode : Oštećeni kod skriven je unutar C# binarnih datoteka, što otežava njegovu analizu.
  • Produljena postojanost : zlonamjerni softver ostaje dulje na zaraženim uređajima bez pokretanja sigurnosnih upozorenja.
  • Taktike izbjegavanja : Nekonvencionalna arhitektura omogućuje zaobilaženje tradicionalnih sigurnosnih skeniranja.

Identificirane lažne aplikacije za bankarstvo i društvene mreže

Istraživači su identificirali višestruke lažne aplikacije koje koriste .NET MAUI, zajednički nazvane FakeApp. Neke od značajnih lažnih aplikacija uključuju:

Lažne bankovne aplikacije:

Indus kreditna kartica (indus.credit.card)

Indusind kartica (com.rewardz.card)

Lažni društveni mediji i uslužne aplikacije:

Kupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Privatni album) (pBOnCi.cUVNXz)

小宇宙 (Mali svemir) (p9Z2Ej.cplkQv)

Ove aplikacije prevarom navode korisnike da ih instaliraju, zatim tiho izdvajaju i prenose njihove osobne podatke poslužitelju kojim upravlja napadač.

Kako su korisnici prevareni

Za razliku od legitimnih aplikacija koje se distribuiraju putem Google Playa, ove lažne aplikacije oslanjaju se na prijevarne taktike distribucije. Napadači šalju lažne veze putem aplikacija za razmjenu poruka, odvodeći korisnike u neslužbene trgovine aplikacija gdje nesvjesno preuzimaju zlonamjerni softver.

Na primjer:

  • Lažna bankarska aplikacija lažno predstavlja indijsku financijsku instituciju kako bi ukrala puna imena korisnika, brojeve mobitela, podatke o kreditnoj kartici i osobne iskaznice koje je izdala vlada.
  • Lažna aplikacija za društvene medije koja oponaša "X" (bivši Twitter) skuplja kontakte, SMS poruke i fotografije ciljajući na korisnike koji govore kineski.

Korištene napredne tehnike izbjegavanja

Kako bi izbjegao otkrivanje, zlonamjerni softver koristi više sofisticiranih tehnika:

  • Šifrirani prijenos podataka : Prikupljeni podaci šalju se Command-and-Control (C2) poslužitelju pomoću šifrirane komunikacije utičnice.
  • Lažna dopuštenja : zlonamjerni softver ubacuje besmislena dopuštenja (npr. 'android.permission.LhSSzIw6q') u datoteku AndroidManifest.xml kako bi zbunio alate za analizu.
  • Višestupanjsko dinamičko učitavanje : koristi učitavač šifriran XOR za pokretanje AES šifriranog korisnog sadržaja, koji zatim učitava sklopove .NET MAUI koji sadrže stvarni zlonamjerni softver.
  • Korisnička interakcija pokreće zlonamjerne radnje : osnovni sadržaj ostaje skriven u C# kodu, aktivirajući se samo kada korisnik stupi u interakciju s aplikacijom (npr. pritiskom na gumb). U tom trenutku tiho krade podatke i šalje ih C2 poslužitelju.

Kako ostati siguran

S obzirom na sve veću sofisticiranost ovih napada, korisnici bi trebali poduzeti proaktivne korake kako bi se zaštitili:

  • Izbjegavajte trgovine aplikacija trećih strana – aplikacije preuzimajte samo s Google Playa ili pouzdanih izvora.
  • Provjerite dopuštenja aplikacije – Budite oprezni s aplikacijama koje traže nepotrebna dopuštenja.
  • Budite oprezni zbog phishing veza – nemojte klikati na sumnjive veze u porukama.
  • Koristite softver protiv zlonamjernog softvera – Instalirajte pouzdano mobilno sigurnosno rješenje za otkrivanje i uklanjanje potencijalnih prijetnji.

Budući da kibernetički kriminalci neprestano razvijaju svoje taktike, biti informiran i oprez najbolja je obrana od ovih prijetnji u nastajanju.

U trendu

Nagledanije

Učitavam...