App Android false MAUI .NET

Entro Mezo nel Malware per dispositivi mobili

Traduci in:

Gli esperti di sicurezza informatica hanno scoperto una nuova campagna malware Android che sfrutta il framework .NET Multi-platform App UI (.NET MAUI) di Microsoft. Camuffate da applicazioni bancarie e social media, queste applicazioni minacciose prendono di mira principalmente utenti di lingua indiana e cinese e mirano a raccogliere informazioni sensibili.

Sommario

Cos’è .NET MAUI e perché viene utilizzato?

.NET MAUI è il framework multipiattaforma di Microsoft per lo sviluppo di applicazioni native tramite C# e XAML. Si è evoluto da Xamarin, offrendo agli sviluppatori un modo semplificato per creare applicazioni multipiattaforma con un singolo progetto, consentendo al contempo codice specifico della piattaforma ove necessario.

In particolare, Microsoft ha ufficialmente terminato il supporto per Xamarin il 1° maggio 2024, incoraggiando gli sviluppatori a passare a .NET MAUI. Gli autori delle minacce si sono rapidamente adattati, sfruttando questo framework per sviluppare nuovi malware Android, continuando la loro tendenza a perfezionare ed evolvere i metodi di attacco.

Come .NET MAUI aiuta il malware a eludere il rilevamento

A differenza delle applicazioni Android tradizionali, che si basano su file DEX e librerie native, il malware basato su .NET MAUI memorizza le sue funzionalità principali in binari blob C#. Ciò rende il rilevamento più impegnativo, poiché il framework agisce come un packer che aiuta il malware a persistere non rilevato sui dispositivi delle vittime.

Utilizzando .NET MAUI, i criminali informatici ottengono numerosi vantaggi:

Modalità invisibile : il codice corrotto è nascosto nei file binari C#, rendendone più difficile l'analisi.
Persistenza estesa : il malware rimane sui dispositivi infetti più a lungo senza attivare avvisi di sicurezza.
Tattiche di elusione : l'architettura non convenzionale consente di aggirare le scansioni di sicurezza tradizionali.

Identificate applicazioni false di social media e servizi bancari

I ricercatori hanno identificato diverse app fraudolente che utilizzano .NET MAUI, collettivamente denominate FakeApp. Alcune delle applicazioni false degne di nota includono:

Applicazioni bancarie false:

Carta di credito Indus (indus.credit.card)

Carta Indusind (com.rewardz.card)

Applicazioni false sui social media e di utilità:

Cupido (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Album privato) (pBOnCi.cUVNXz)

小宇宙 (Piccolo Universo) (p9Z2Ej.cplkQv)

Queste applicazioni ingannano gli utenti inducendoli a installarle, per poi estrarre e trasmettere silenziosamente i loro dati personali a un server controllato dall'aggressore.

Come vengono ingannati gli utenti

A differenza delle applicazioni legittime distribuite tramite Google Play, queste applicazioni false si basano su tattiche ingannevoli per la distribuzione. Gli aggressori inviano link fraudolenti tramite applicazioni di messaggistica, indirizzando gli utenti verso app store non ufficiali dove scaricano inconsapevolmente il malware.

Ad esempio:

Un'applicazione bancaria falsa si spaccia per un istituto finanziario indiano per rubare nomi completi, numeri di cellulare, dati delle carte di credito e documenti d'identità rilasciati dal governo degli utenti.
Un'app di social media fraudolenta che imita "X" (ex Twitter) raccoglie contatti, messaggi SMS e foto, prendendo di mira gli utenti di lingua cinese.

Le tecniche avanzate di evasione utilizzate

Per evitare di essere rilevato, il malware impiega molteplici tecniche sofisticate:

Trasmissione dati crittografata : i dati raccolti vengono inviati a un server di comando e controllo (C2) tramite comunicazione socket crittografata.
Autorizzazioni false : il malware inietta autorizzazioni prive di significato (ad esempio, 'android.permission.LhSSzIw6q') nel file AndroidManifest.xml per confondere gli strumenti di analisi.
Caricamento dinamico multifase : utilizza un caricatore crittografato XOR per avviare un payload crittografato AES, che carica quindi gli assembly MAUI .NET contenenti il malware vero e proprio.
L'interazione dell'utente innesca azioni dannose : il payload principale rimane nascosto nel codice C#, attivandosi solo quando l'utente interagisce con l'app (ad esempio, premendo un pulsante). A quel punto, ruba silenziosamente i dati e li trasmette al server C2.

Come restare al sicuro

Data la crescente sofisticatezza di questi attacchi, gli utenti dovrebbero adottare misure proattive per proteggersi:

Evita gli app store di terze parti : scarica le applicazioni solo da Google Play o da fonti attendibili.
Verifica le autorizzazioni dell'applicazione : fai attenzione alle applicazioni che richiedono autorizzazioni non necessarie.
Fai attenzione ai link di phishing : non cliccare sui link sospetti nei messaggi.
Utilizza un software anti-malware : installa una soluzione di sicurezza mobile affidabile per rilevare e rimuovere potenziali minacce.

Poiché le tattiche dei criminali informatici sono in continua evoluzione, restare informati e prudenti è la migliore difesa contro queste minacce emergenti.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione

App Android false MAUI .NET

Cos’è .NET MAUI e perché viene utilizzato?

Come .NET MAUI aiuta il malware a eludere il rilevamento

Identificate applicazioni false di social media e servizi bancari

Come vengono ingannati gli utenti

Le tecniche avanzate di evasione utilizzate

Come restare al sicuro

Invia commento

Tendenza

Behavior:Win64/Shaolaod.A Malware

Truffa e-mail del server cloud di posta

Vulnerabilità CVE-2025-24201

I più visti

Discord è bloccato sullo schermo grigio

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...