Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa mobiliesiems .NET MAUI netikros Android programos

.NET MAUI netikros Android programos

Autorius Mezo, Kenkėjiška programa mobiliesiems
Versti į:
Lietuvių

Kibernetinio saugumo ekspertai atskleidė naują Android kenkėjiškų programų kampaniją, kuri išnaudoja Microsoft .NET Multi-platform App UI (.NET MAUI) sistemą. Šios grėsmingos programos, užmaskuotos kaip bankininkystės ir socialinės žiniasklaidos programos, pirmiausia skirtos indams ir kiniškai kalbantiems vartotojams ir siekia rinkti neskelbtiną informaciją.

Kas yra .NET MAUI ir kodėl jis naudojamas?

.NET MAUI yra Microsoft kelių platformų sistema, skirta kurti vietines programas naudojant C# ir XAML. Jis išsivystė iš Xamarin, siūlydamas kūrėjams supaprastintą būdą kurti kelių platformų programas su vienu projektu, o ten, kur reikia, leidžia naudoti konkrečios platformos kodą.

Pažymėtina, kad „Microsoft“ oficialiai nutraukė „Xamarin“ palaikymą 2024 m. gegužės 1 d., skatindama kūrėjus pereiti prie .NET MAUI. Grėsmių subjektai greitai prisitaikė, pasinaudodami šia sistema kurdami naują „Android“ kenkėjišką programinę įrangą, tęsdami savo tendenciją tobulinti ir tobulinti atakų metodus.

Kaip .NET MAUI padeda išvengti kenkėjiškų programų aptikimo

Skirtingai nuo tradicinių „Android“ programų, kurios remiasi DEX failais ir vietinėmis bibliotekomis, .NET MAUI pagrįsta kenkėjiška programa savo pagrindines funkcijas saugo C# blob dvejetainiuose failuose. Dėl to aptikimas tampa sudėtingesnis, nes sistema veikia kaip paketuotojas, padedantis kenkėjiškai programai išlikti nepastebimai nukentėjusiuose įrenginiuose.

Naudodamiesi .NET MAUI, kibernetiniai nusikaltėliai įgyja keletą pranašumų:

  • Slaptas režimas : sugadintas kodas yra paslėptas C# dvejetainiuose failuose, todėl jį sunkiau analizuoti.
  • Išplėstinis patvarumas : kenkėjiška programa ilgiau išlieka užkrėstuose įrenginiuose, nesukeldama saugos įspėjimų.
  • Vengimo taktika : netradicinė architektūra leidžia apeiti tradicinius saugos nuskaitymus.

Nustatytos netikros bankininkystės ir socialinės žiniasklaidos programos

Tyrėjai nustatė keletą apgaulingų programų, naudojančių .NET MAUI, bendrai vadinamą FakeApp. Kai kurios žinomos suklastotos programos apima:

Suklastotos bankininkystės programos:

Indus kredito kortelė (indus.credit.card)

„Indusind“ kortelė (com.rewardz.card)

Netikros socialinės žiniasklaidos ir paslaugų programos:

Kupidonas (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (privatus albumas) (pBOnCi.cUVNXz)

小宇宙 (mažoji visata) (p9Z2Ej.cplkQv)

Šios programos apgaudinėja vartotojus jas įdiegti, tada tyliai išgauna ir perduoda jų asmeninius duomenis į užpuoliko valdomą serverį.

Kaip apgaudinėjami vartotojai

Skirtingai nuo teisėtų programų, platinamų per „Google Play“, šios netikros programos priklauso nuo apgaulingos platinimo taktikos. Užpuolikai siunčia apgaulingas nuorodas per susirašinėjimo programas, nukreipdami vartotojus į neoficialias programų parduotuves, kur jie nesąmoningai atsisiunčia kenkėjišką programą.

Pavyzdžiui:

  • Suklastota bankininkystės programa apsimetinėjama Indijos finansų įstaiga, kad pavogtų vartotojų vardus, mobiliojo telefono numerius, kredito kortelių duomenis ir vyriausybės išduotus asmens tapatybės dokumentus.
  • Apgaulinga socialinės žiniasklaidos programa, imituojanti „X“ (buvusią „Twitter“), renka kontaktus, SMS žinutes ir nuotraukas, taikydama kiniškai kalbančius vartotojus.

Naudojami pažangūs vengimo būdai

Kad kenkėjiška programa nebūtų aptikta, ji naudoja keletą sudėtingų metodų:

  • Šifruotas duomenų perdavimas : surinkti duomenys siunčiami į komandų ir valdymo (C2) serverį naudojant šifruotą lizdo ryšį.
  • Suklastoti leidimai : kenkėjiška programa įveda beprasmius leidimus (pvz., „android.permission.LhSSzIw6q“) į failą AndroidManifest.xml, kad supainiotų analizės įrankius.
  • Daugiapakopis dinaminis įkėlimas : naudoja XOR užšifruotą įkroviklį, kad paleistų AES šifruotą naudingą apkrovą, kuri tada įkelia .NET MAUI rinkinius, kuriuose yra tikroji kenkėjiška programa.
  • Naudotojo sąveika suaktyvina kenkėjiškus veiksmus : pagrindinė naudingoji apkrova lieka paslėpta C# kode ir suaktyvinama tik tada, kai vartotojas sąveikauja su programa (pvz., paspaudžia mygtuką). Tuo metu jis tyliai pavagia duomenis ir perduoda juos į C2 serverį.

Kaip išlikti saugiems

Kadangi šios atakos vis sudėtingesnės, vartotojai turėtų imtis aktyvių veiksmų, kad apsisaugotų:

  • Venkite trečiųjų šalių programų parduotuvių – programas atsisiųskite tik iš „Google Play“ arba patikimų šaltinių.
  • Patikrinkite programos leidimus – būkite atsargūs, kai programos prašo nereikalingų leidimų.
  • Būkite budrūs dėl sukčiavimo nuorodų – nespustelėkite įtartinų nuorodų pranešimuose.
  • Naudokite kovos su kenkėjiškomis programomis programinę įrangą – įdiekite patikimą mobiliojo saugos sprendimą, kad aptiktumėte ir pašalintumėte galimas grėsmes.

Kibernetiniams nusikaltėliams nuolat tobulinant savo taktiką, būti informuotam ir atsargiems yra geriausia apsauga nuo šių kylančių grėsmių.

Tendencijos

Pašto debesies serverio el. pašto sukčiavimas

Sukčiavimas, Šlamštas
Internetas pilnas apgaulingų schemų, skirtų išnaudoti nieko neįtariančius vartotojus, todėl naršant ir tvarkant el. laiškus būtina išlikti atsargiems. Sukčiavimo atakos, tokios kaip „Mail Cloud Server“ el. pašto sukčiavimas, yra viena iš labiausiai paplitusių grėsmių, naudojant socialinės inžinerijos taktiką, siekiant pavogti neskelbtiną informaciją. Suprasdami, kaip veikia ši afera, vartotojai...

CVE-2025-24201 Pažeidžiamumas

Pažeidžiamumas
„Apple“ paskelbė apie kritinio saugos naujinimo išleidimą, kad pašalintų nulinės dienos pažeidžiamumą, identifikuotą kaip CVE-2025-24201. Šis trūkumas, kuris buvo aktyviai naudojamas „itin sudėtingose“ atakose, paveikia „WebKit“ žiniatinklio naršyklės variklį. Problema susijusi su neribotu rašymo pažeidžiamumu, dėl kurio užpuolikai gali apeiti žiniatinklio turinio smėlio dėžę, o tai gali...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
28,661
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...