Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware .NET MAUI Nep-Android-apps

.NET MAUI Nep-Android-apps

Tegen Mezo in Mobiele malware
Vertalen naar:
Nederlands

Cybersecurity-experts hebben een nieuwe Android-malwarecampagne ontdekt die misbruik maakt van het .NET Multi-platform App UI (.NET MAUI)-framework van Microsoft. Deze bedreigende applicaties, vermomd als banking- en social media-applicaties, richten zich voornamelijk op Indiase en Chinees sprekende gebruikers en proberen gevoelige informatie te verzamelen.

Wat is .NET MAUI en waarom wordt het gebruikt?

De .NET MAUI is Microsoft's cross-platform framework voor het ontwikkelen van native applicaties met C# en XAML. Het is geëvolueerd van Xamarin en biedt ontwikkelaars een gestroomlijnde manier om multi-platform applicaties te maken met één project, terwijl platformspecifieke code wordt toegestaan waar nodig.

Opvallend is dat Microsoft op 1 mei 2024 officieel de ondersteuning voor Xamarin heeft beëindigd, waarmee ontwikkelaars worden aangemoedigd over te stappen op de .NET MAUI. Kwaadwillenden hebben zich snel aangepast en maken gebruik van dit framework om nieuwe Android-malware te ontwikkelen, waarmee ze hun trend van het verfijnen en ontwikkelen van aanvalsmethoden voortzetten.

Hoe de .NET MAUI malware helpt detectie te ontwijken

In tegenstelling tot traditionele Android-applicaties, die vertrouwen op DEX-bestanden en native bibliotheken, slaat de op .NET MAUI gebaseerde malware zijn kernfunctionaliteiten op in C# blob-binaries. Dit maakt detectie lastiger, omdat het framework fungeert als een packer die de malware helpt om onopgemerkt te blijven op de apparaten van het slachtoffer.

Door gebruik te maken van .NET MAUI profiteren cybercriminelen van verschillende voordelen:

  • Stealth-modus : De beschadigde code is verborgen in C#-binaire bestanden, waardoor deze moeilijker te analyseren is.
  • Uitgebreide persistentie : de malware blijft langer op geïnfecteerde apparaten aanwezig zonder dat er beveiligingswaarschuwingen worden geactiveerd.
  • Ontwijkingstechnieken : De onconventionele architectuur maakt het mogelijk om traditionele beveiligingsscans te omzeilen.

Nepbankieren en sociale media-applicaties geïdentificeerd

Onderzoekers hebben meerdere frauduleuze apps geïdentificeerd die de .NET MAUI gebruiken, gezamenlijk FakeApp genoemd. Enkele van de opvallende nep-applicaties zijn:

Nep-bankapplicaties:

Indus Creditcard (indus.credit.card)

Indusind-kaart (com.rewardz.card)

Nep-sociale media en hulpprogramma's:

Cupido (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Michéng) (pCDhCg.cEOngl)

私密相册 (privéalbum) (pBOnCi.cUVNXz)

小宇宙 (Klein heelal) (p9Z2Ej.cplkQv)

Deze applicaties misleiden gebruikers zodat ze de apps installeren. Vervolgens halen ze in stilte hun persoonlijke gegevens op en verzenden ze deze naar een server die door de aanvaller wordt beheerd.

Hoe gebruikers worden misleid

In tegenstelling tot legitieme applicaties die via Google Play worden gedistribueerd, vertrouwen deze nepapplicaties op misleidende tactieken voor distributie. Aanvallers sturen frauduleuze links via berichtenapplicaties, waardoor gebruikers naar onofficiële app stores worden geleid waar ze onbewust de malware downloaden.

Bijvoorbeeld:

  • Een nep-bankieren-app doet zich voor als een Indiase financiële instelling om de volledige namen, mobiele nummers, creditcardgegevens en door de overheid uitgegeven identiteitsbewijzen van gebruikers te stelen.
  • Een frauduleuze sociale media-app die "X" (voorheen Twitter) imiteert, verzamelt contacten, sms-berichten en foto's en richt zich op Chinees sprekende gebruikers.

De geavanceerde ontwijkingstechnieken die worden gebruikt

Om detectie te voorkomen, maakt de malware gebruik van meerdere geavanceerde technieken:

  • Gecodeerde gegevensoverdracht : verzamelde gegevens worden via gecodeerde socketcommunicatie naar een Command-and-Control (C2)-server verzonden.
  • Nepmachtigingen : de malware injecteert betekenisloze machtigingen (bijv. 'android.permission.LhSSzIw6q') in het bestand AndroidManifest.xml om analysetools te verwarren.
  • Dynamisch laden in meerdere fasen : Hierbij wordt gebruikgemaakt van een XOR-gecodeerde loader om een AES-gecodeerde payload te starten, die vervolgens de .NET MAUI-assembly's laadt die de daadwerkelijke malware bevatten.
  • Gebruikersinteractie activeert schadelijke acties : de kernpayload blijft verborgen in C#-code en wordt alleen geactiveerd wanneer de gebruiker met de app communiceert (bijvoorbeeld door op een knop te drukken). Op dat moment steelt het stilletjes gegevens en verzendt deze naar de C2-server.

Hoe blijf je veilig?

Gezien de toenemende verfijning van deze aanvallen, moeten gebruikers proactieve maatregelen nemen om zichzelf te beschermen:

  • Vermijd app-winkels van derden : download alleen applicaties van Google Play of vertrouwde bronnen.
  • Controleer de rechten van de toepassing : wees voorzichtig met toepassingen die onnodige rechten aanvragen.
  • Wees alert op phishinglinks : klik niet op verdachte links in berichten.
  • Gebruik anti-malwaresoftware : installeer een betrouwbare mobiele beveiligingsoplossing om potentiële bedreigingen te detecteren en te verwijderen.

Cybercriminelen ontwikkelen voortdurend hun tactieken. Daarom is goed geïnformeerd en voorzichtig blijven de beste verdediging tegen deze opkomende bedreigingen.

Trending

Meest bekeken

Bezig met laden...