Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm .NET MAUI Viltus Android lietotnes

.NET MAUI Viltus Android lietotnes

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm. gadā
Tulkot uz:
Latviešu

Kiberdrošības eksperti ir atklājuši jaunu Android ļaunprātīgas programmatūras kampaņu, kas izmanto Microsoft .NET Multi-platform App UI (.NET MAUI) ietvaru. Šīs draudīgās lietojumprogrammas, kas maskētas kā banku un sociālo mediju lietojumprogrammas, galvenokārt ir paredzētas Indijas un ķīniešu valodā runājošiem lietotājiem, un to mērķis ir iegūt sensitīvu informāciju.

Kas ir .NET MAUI un kāpēc tas tiek izmantots?

.NET MAUI ir Microsoft starpplatformu sistēma vietējo lietojumprogrammu izstrādei, izmantojot C# un XAML. Tas attīstījās no Xamarin, piedāvājot izstrādātājiem pilnveidotu veidu, kā ar vienu projektu izveidot vairāku platformu lietojumprogrammas, vienlaikus nodrošinot platformai raksturīgu kodu, kur nepieciešams.

Jāatzīmē, ka Microsoft oficiāli pārtrauca Xamarin atbalstu 2024. gada 1. maijā, mudinot izstrādātājus pāriet uz .NET MAUI. Draudu dalībnieki ir ātri pielāgojušies, izmantojot šo sistēmu, lai izstrādātu jaunu Android ļaunprātīgu programmatūru, turpinot pilnveidot un attīstīt uzbrukuma metodes.

Kā .NET MAUI palīdz ļaunprātīgai programmatūrai izvairīties no atklāšanas

Atšķirībā no tradicionālajām Android lietojumprogrammām, kas balstās uz DEX failiem un vietējām bibliotēkām, uz .NET MAUI balstīta ļaunprogrammatūra saglabā savas galvenās funkcijas C# blob bināros failos. Tas padara noteikšanu grūtāku, jo sistēma darbojas kā pakotne, kas palīdz ļaunprātīgai programmatūrai palikt neatklātai cietušajās ierīcēs.

Izmantojot .NET MAUI, kibernoziedznieki iegūst vairākas priekšrocības:

  • Slepenais režīms : bojātais kods ir paslēpts C# bināros failos, padarot to grūtāk analizēt.
  • Pagarināta noturība : ļaunprogrammatūra ilgāk paliek inficētajās ierīcēs, neizraisot drošības brīdinājumus.
  • Izvairīšanās taktika : netradicionālā arhitektūra ļauj apiet tradicionālās drošības pārbaudes.

Identificētas viltotas banku un sociālo mediju lietojumprogrammas

Pētnieki ir identificējuši vairākas krāpnieciskas lietotnes, izmantojot .NET MAUI, ko kopā dēvē par FakeApp. Dažas no ievērojamākajām viltotajām lietojumprogrammām ietver:

Viltus bankas pieteikumi:

Indus kredītkarte (indus.credit.card)

Indusind karte (com.rewardz.card)

Viltus sociālo mediju un utilītu lietojumprogrammas:

Cupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (privāts albums) (pBOnCi.cUVNXz)

小宇宙 (Mazais Visums) (p9Z2Ej.cplkQv)

Šīs lietojumprogrammas liek lietotājiem tās instalēt, pēc tam klusi iegūst un pārsūta viņu personas datus uz uzbrucēja kontrolētu serveri.

Kā tiek maldināti lietotāji

Atšķirībā no likumīgām lietojumprogrammām, kas tiek izplatītas pakalpojumā Google Play, šīs viltotās lietojumprogrammas izplata maldinoši. Uzbrucēji, izmantojot ziņojumapmaiņas lietojumprogrammas, sūta krāpnieciskas saites, nogādājot lietotājus uz neoficiāliem lietotņu veikaliem, kur viņi neapzināti lejupielādē ļaunprātīgo programmatūru.

Piemēram:

  • Viltota bankas lietojumprogramma uzdodas par Indijas finanšu iestādi, lai nozagtu lietotāju pilnus vārdus, mobilo tālruņu numurus, kredītkaršu datus un valsts izdotus ID.
  • Krāpnieciska sociālo mediju lietotne, kas atdarina "X" (agrāk Twitter), vāc kontaktus, SMS un fotoattēlus, mērķējot uz ķīniešu valodā runājošiem lietotājiem.

Izmantotās uzlabotās izvairīšanās metodes

Lai izvairītos no atklāšanas, ļaunprogrammatūra izmanto vairākas sarežģītas metodes:

  • Šifrēta datu pārraide : iegūtie dati tiek nosūtīti uz Command-and-Control (C2) serveri, izmantojot šifrētu ligzdas saziņu.
  • Viltus atļaujas : ļaunprogrammatūra ievada bezjēdzīgas atļaujas (piemēram, “android.permission.LhSSzIw6q”) failā AndroidManifest.xml, lai sajauktu analīzes rīkus.
  • Daudzpakāpju dinamiskā ielāde : tajā tiek izmantots XOR šifrēts ielādētājs, lai palaistu ar AES šifrētu lietderīgo slodzi, kas pēc tam ielādē .NET MAUI komplektus, kas satur faktisko ļaunprātīgo programmatūru.
  • Lietotāja mijiedarbība aktivizē ļaunprātīgas darbības : galvenā lietderīgā slodze paliek paslēpta C# kodā un tiek aktivizēta tikai tad, kad lietotājs mijiedarbojas ar lietotni (piemēram, nospiež pogu). Tajā brīdī tas klusi nozog datus un pārsūta tos uz C2 serveri.

Kā palikt drošībā

Tā kā šie uzbrukumi kļūst arvien sarežģītāki, lietotājiem jāveic aktīvas darbības, lai sevi aizsargātu.

  • Izvairieties no trešo pušu lietotņu veikaliem — lejupielādējiet lietojumprogrammas tikai no pakalpojuma Google Play vai uzticamiem avotiem.
  • Pārbaudiet lietojumprogrammas atļaujas — esiet piesardzīgs attiecībā uz lietojumprogrammām, kas pieprasa nevajadzīgas atļaujas.
  • Esiet modrs par pikšķerēšanas saitēm — neklikšķiniet uz aizdomīgām saitēm ziņojumos.
  • Izmantojiet programmatūru pret ļaunprātīgu programmatūru — instalējiet uzticamu mobilās drošības risinājumu, lai atklātu un novērstu iespējamos draudus.

Tā kā kibernoziedznieki nepārtraukti pilnveido savu taktiku, būt informētam un piesardzīgiem ir labākā aizsardzība pret šiem jaunajiem draudiem.

Tendences

Mail Cloud Server e-pasta krāpniecība

Pikšķerēšana, Mēstules
Internets ir piepildīts ar maldinošām shēmām, kas izstrādātas, lai izmantotu nenojaušus lietotājus, tādēļ ir svarīgi ievērot piesardzību, pārlūkojot un apstrādājot e-pastus. Pikšķerēšanas uzbrukumi, piemēram, Mail Cloud Server e-pasta krāpniecība, ir viens no visizplatītākajiem draudiem, izmantojot sociālās inženierijas taktikas, lai nozagtu sensitīvu informāciju. Izprotot, kā šī krāpniecība...

CVE-2025-24201 Ievainojamība

Neaizsargātība
Apple ir paziņojis par kritiska drošības atjauninājuma izlaišanu, lai novērstu nulles dienas ievainojamību, kas identificēta kā CVE-2025-24201. Šis trūkums, kas ir aktīvi izmantots “ārkārtīgi sarežģītos” uzbrukumos, ietekmē WebKit tīmekļa pārlūkprogrammas dzinēju. Problēma ir saistīta ar ārpus robežām esošu rakstīšanas ievainojamību, kas var ļaut uzbrucējiem apiet tīmekļa satura smilškaste,...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
28,661
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...