Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program .NET MAUI Hamis Android-alkalmazások

.NET MAUI Hamis Android-alkalmazások

Mezo -ra Mobil rosszindulatú program-ben
Fordítás ide:
Magyar

A kiberbiztonsági szakértők feltártak egy új Android-malware kampányt, amely a Microsoft .NET Multi-platform App UI (.NET MAUI) keretrendszerét használja ki. A banki és közösségimédia-alkalmazásoknak álcázott fenyegető alkalmazások elsősorban indiai és kínaiul beszélő felhasználókat céloznak meg, és érzékeny információk begyűjtését célozzák.

Mi az a .NET MAUI, és miért használják?

A .NET MAUI a Microsoft platformok közötti keretrendszere natív alkalmazások fejlesztésére C# és XAML használatával. A Xamarinból fejlődött ki, és egyszerűsített módot kínál a fejlesztőknek többplatformos alkalmazások létrehozására egyetlen projekttel, miközben lehetővé teszi a platform-specifikus kód használatát, ahol szükséges.

A Microsoft 2024. május 1-jén hivatalosan is megszüntette a Xamarin támogatását, és arra ösztönzi a fejlesztőket, hogy térjenek át a .NET MAUI-ra. A fenyegetés szereplői gyorsan alkalmazkodtak, kihasználva ezt a keretrendszert új Android rosszindulatú programok fejlesztésére, folytatva a támadási módszerek finomítását és fejlesztését.

Hogyan segít a .NET MAUI a rosszindulatú programok elkerülésében?

A hagyományos Android-alkalmazásokkal ellentétben, amelyek DEX-fájlokra és natív könyvtárakra támaszkodnak, a .NET MAUI-alapú rosszindulatú programok alapvető funkcióit C# blob binárisokban tárolják. Ez megnehezíti az észlelést, mivel a keretrendszer csomagolóként működik, amely segít a rosszindulatú programoknak észrevétlenül fennmaradni az áldozat eszközökön.

A .NET MAUI használatával a kiberbűnözők számos előnnyel rendelkeznek:

  • Lopakodó mód : A sérült kód a C# binárisokban van elrejtve, ami megnehezíti az elemzést.
  • Meghosszabbított tartósság : A rosszindulatú program tovább marad a fertőzött eszközökön anélkül, hogy biztonsági riasztásokat váltana ki.
  • Kijátszási taktika : A nem szokványos architektúra lehetővé teszi a hagyományos biztonsági ellenőrzések megkerülését.

Hamis banki és közösségi média alkalmazások azonosítva

A kutatók több csaló alkalmazást is azonosítottak a .NET MAUI-val, összefoglaló néven FakeApp-ként. Néhány figyelemre méltó hamis alkalmazás:

Hamis banki alkalmazások:

Indus hitelkártya (indus.credit.card)

Indusind kártya (com.rewardz.card)

Hamis közösségi média és segédprogramok:

Cupido (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Privát album) (pBOnCi.cUVNXz)

小宇宙 (Kis Univerzum) (p9Z2Ej.cplkQv)

Ezek az alkalmazások ráveszik a felhasználókat, hogy telepítsék őket, majd csendben kivonják és továbbítják személyes adataikat egy támadó által vezérelt szerverre.

Hogyan csapják be a felhasználókat

A Google Playen keresztül terjesztett legitim alkalmazásokkal ellentétben ezek a hamis alkalmazások megtévesztő terjesztési taktikára támaszkodnak. A támadók hamis linkeket küldenek üzenetküldő alkalmazásokon keresztül, így a felhasználókat nem hivatalos alkalmazásboltokba vezetik, ahonnan tudtukon kívül letöltik a kártevőt.

Például:

  • Egy hamis banki alkalmazás egy indiai pénzintézetnek adja ki magát, hogy ellopja a felhasználók teljes nevét, mobilszámát, hitelkártya-adatait és államilag kibocsátott személyazonosító okmányokat.
  • Az „X” betűt utánzó, csaló közösségi médiaalkalmazás (korábban Twitter) névjegyeket, SMS-üzeneteket és fényképeket gyűjt össze, megcélozva a kínaiul beszélő felhasználókat.

Az alkalmazott fejlett kijátszási technikák

Az észlelés elkerülése érdekében a kártevő többféle kifinomult technikát alkalmaz:

  • Titkosított adatátvitel : A begyűjtött adatokat titkosított socket-kommunikáció segítségével a rendszer egy Command-and-Control (C2) szerverre küldi.
  • Hamis engedélyek : A rosszindulatú program értelmetlen engedélyeket (pl. „android.permission.LhSSzIw6q”) szúr be az AndroidManifest.xml fájlba, hogy megzavarja az elemzési eszközöket.
  • Többlépcsős dinamikus betöltés : XOR-titkosított betöltőt használ egy AES-titkosított rakomány elindításához, amely ezután betölti a tényleges kártevőt tartalmazó .NET MAUI-szerelvényeket.
  • A felhasználói interakció rosszindulatú műveleteket vált ki : Az alapvető hasznos terhelés rejtve marad a C# kódban, és csak akkor aktiválódik, amikor a felhasználó interakcióba lép az alkalmazással (pl. megnyom egy gombot). Ekkor csendben ellopja az adatokat, és továbbítja a C2 szervernek.

Hogyan maradjunk biztonságban

Tekintettel ezeknek a támadásoknak a kifinomultabbá válására, a felhasználóknak proaktív lépéseket kell tenniük saját maguk védelmére:

  • Kerülje a harmadik féltől származó App Store-okat – Csak a Google Playről vagy megbízható forrásokból töltsön le alkalmazásokat.
  • Alkalmazásengedélyek ellenőrzése – Legyen óvatos, ha az alkalmazások szükségtelen engedélyeket kérnek.
  • Legyen éber az adathalász linkekre – Ne kattintson az üzenetekben lévő gyanús linkekre.
  • Használjon kártevőirtó szoftvert – Telepítsen megbízható mobil biztonsági megoldást a potenciális fenyegetések észleléséhez és eltávolításához.

Mivel a kiberbűnözők folyamatosan fejlesztik taktikájukat, a tájékozottság és az óvatosság a legjobb védekezés ezekkel a felmerülő fenyegetésekkel szemben.

Felkapott

Mail Cloud Server e-mail átverés

Adathalászat, Spam
Az internet tele van megtévesztő sémákkal, amelyek célja a gyanútlan felhasználók kihasználása, ezért elengedhetetlen az óvatosság az e-mailek böngészése és kezelése során. Az adathalász támadások, mint például a Mail Cloud Server e-mail átverése, a leggyakoribb fenyegetések közé tartoznak, és szociális tervezési taktikákat alkalmaznak érzékeny információk ellopására. Ha megérti, hogyan működik...

Legnézettebb

Betöltés...