.NET MAUI Falske Android-apper

Med Mezo i Mobil skadelig programvare

Oversett til:

Eksperter på nettsikkerhet har avdekket en ny Android-malvarekampanje som utnytter Microsofts .NET Multi-platform App UI (.NET MAUI) rammeverk. Forkledd som bank- og sosiale medier-applikasjoner, er disse truende applikasjonene primært rettet mot indisk og kinesisktalende brukere og tar sikte på å samle inn sensitiv informasjon.

Innholdsfortegnelse

Hva er .NET MAUI og hvorfor blir det brukt?

.NET MAUI er Microsofts rammeverk på tvers av plattformer for utvikling av native applikasjoner ved bruk av C# og XAML. Det utviklet seg fra Xamarin, og tilbyr utviklere en strømlinjeformet måte å lage multiplattformapplikasjoner med ett enkelt prosjekt, samtidig som den tillater plattformspesifikk kode der det er nødvendig.

Spesielt avsluttet Microsoft offisielt støtte for Xamarin 1. mai 2024, og oppmuntret utviklere til å gå over til .NET MAUI. Trusselaktører har raskt tilpasset seg, utnyttet dette rammeverket for å utvikle ny Android-skadevare, og fortsetter trenden med å foredle og utvikle angrepsmetoder.

Hvordan .NET MAUI hjelper til med oppdagelse av skadelig programvare

I motsetning til tradisjonelle Android-applikasjoner, som er avhengige av DEX-filer og native biblioteker, lagrer den .NET MAUI-baserte skadelige programvaren sine kjernefunksjoner i C# blob-binærfiler. Dette gjør deteksjon mer utfordrende, ettersom rammeverket fungerer som en pakker som hjelper skadevaren vedvare uoppdaget på offerets enheter.

Ved å bruke .NET MAUI får nettkriminelle flere fordeler:

Stealth Mode : Den ødelagte koden er skjult i C#-binærfiler, noe som gjør det vanskeligere å analysere.
Utvidet persistens : Skadevaren forblir på infiserte enheter lenger uten å utløse sikkerhetsvarsler.
Evasion Tactics : Den ukonvensjonelle arkitekturen gjør det mulig å omgå tradisjonelle sikkerhetsskanninger.

Identifisert falske bank- og sosiale medier-applikasjoner

Forskere har identifisert flere uredelige apper som bruker .NET MAUI, samlet referert til som FakeApp. Noen av de bemerkelsesverdige falske applikasjonene inkluderer:

Falske bankapplikasjoner:

Indus kredittkort (indus.credit.card)

Indusind-kort (com.rewardz.card)

Falske sosiale medier og verktøy:

Cupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (privat album) (pBOnCi.cUVNXz)

小宇宙 (Lille univers) (p9Z2Ej.cplkQv)

Disse applikasjonene lurer brukere til å installere dem, for så å trekke ut og overføre personlige data i stillhet til en angriperkontrollert server.

Hvordan brukere blir lurt

I motsetning til legitime applikasjoner distribuert gjennom Google Play, er disse falske applikasjonene avhengige av villedende taktikker for distribusjon. Angripere sender uredelige lenker gjennom meldingsapplikasjoner, og fører brukere til uoffisielle appbutikker hvor de ubevisst laster ned skadelig programvare.

For eksempel:

En falsk bankapplikasjon utgir seg for å være en indisk finansinstitusjon for å stjele brukernes fulle navn, mobilnumre, kredittkortopplysninger og offentlig utstedte ID-er.
En uredelig app for sosiale medier som etterligner «X» (tidligere Twitter) samler inn kontakter, SMS-meldinger og bilder, rettet mot kinesisktalende brukere.

De avanserte unnvikelsesteknikkene som brukes

For å unngå oppdagelse bruker skadelig programvare flere sofistikerte teknikker:

Kryptert dataoverføring : Innhentede data sendes til en Command-and-Control-server (C2) ved bruk av kryptert socket-kommunikasjon.
Falske tillatelser : Skadevaren injiserer meningsløse tillatelser (f.eks. 'android.permission.LhSSzIw6q') i AndroidManifest.xml-filen for å forvirre analyseverktøy.
Multi-Stage Dynamic Loading : Den bruker en XOR-kryptert laster for å starte en AES-kryptert nyttelast, som deretter laster inn .NET MAUI-sammenstillingene som inneholder den faktiske skadelige programvaren.
Brukerinteraksjon utløser ondsinnede handlinger : Kjernenyttelasten forblir skjult i C#-koden, og aktiveres bare når brukeren samhandler med appen (f.eks. ved å trykke på en knapp). På det tidspunktet stjeler den data og overfører dem til C2-serveren.

Hvordan holde seg trygg

Gitt den økende sofistikeringen av disse angrepene, bør brukere ta proaktive skritt for å beskytte seg selv:

Unngå tredjeparts App Stores – Last kun ned apper fra Google Play eller pålitelige kilder.
Bekreft applikasjonstillatelser – Vær forsiktig med applikasjoner som ber om unødvendige tillatelser.
Vær på vakt for phishing-koblinger – Ikke klikk på mistenkelige lenker i meldinger.
Bruk anti-malware-programvare – Installer en pålitelig mobil sikkerhetsløsning for å oppdage og fjerne potensielle trusler.

Siden nettkriminelle kontinuerlig utvikler taktikken sin, er det å holde seg informert og forsiktig det beste forsvaret mot disse nye truslene.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region

.NET MAUI Falske Android-apper

Hva er .NET MAUI og hvorfor blir det brukt?

Hvordan .NET MAUI hjelper til med oppdagelse av skadelig programvare

Identifisert falske bank- og sosiale medier-applikasjoner

Hvordan brukere blir lurt

De avanserte unnvikelsesteknikkene som brukes

Hvordan holde seg trygg

Legg inn kommentar

Trender

Behavior:Win64/Shaolaod.A Malware

Mail Cloud Server e-postsvindel

CVE-2025-24201 Sårbarhet

Mest sett

Hva er Msedge.exe?

Hva er 'msedgewebview2.exe'?

'Geek Squad' e-postsvindel