Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie .NET MAUI Fałszywe aplikacje Android

.NET MAUI Fałszywe aplikacje Android

Do Mezo w Mobilne złośliwe oprogramowanie
Przetłumacz na:
Polski

Eksperci ds. cyberbezpieczeństwa odkryli nową kampanię złośliwego oprogramowania na Androida, która wykorzystuje platformę .NET Multi-platform App UI (.NET MAUI) firmy Microsoft. Te groźne aplikacje, ukryte pod postacią aplikacji bankowych i mediów społecznościowych, są skierowane głównie do użytkowników mówiących po indyjsku i chińsku i mają na celu zbieranie poufnych informacji.

Czym jest .NET MAUI i dlaczego jest używany?

.NET MAUI to wieloplatformowa struktura firmy Microsoft do tworzenia aplikacji natywnych przy użyciu C# i XAML. Powstała z Xamarin, oferując deweloperom usprawniony sposób tworzenia aplikacji wieloplatformowych w ramach jednego projektu, a jednocześnie umożliwiając kod specyficzny dla platformy, gdy jest to potrzebne.

Co ciekawe, Microsoft oficjalnie zakończył wsparcie dla Xamarin 1 maja 2024 r., zachęcając deweloperów do przejścia na .NET MAUI. Aktorzy zagrożeń szybko się dostosowali, wykorzystując te ramy do opracowywania nowego złośliwego oprogramowania dla systemu Android, kontynuując swój trend udoskonalania i rozwijania metod ataków.

W jaki sposób .NET MAUI pomaga uniknąć wykrycia złośliwego oprogramowania

W przeciwieństwie do tradycyjnych aplikacji Android, które opierają się na plikach DEX i bibliotekach natywnych, malware oparty na .NET MAUI przechowuje swoje podstawowe funkcjonalności w plikach binarnych blobów C#. To sprawia, że wykrywanie jest trudniejsze, ponieważ framework działa jako paker, który pomaga malware przetrwać niewykrytemu na urządzeniach ofiary.

Wykorzystując .NET MAUI, cyberprzestępcy zyskują szereg korzyści:

  • Tryb ukryty : uszkodzony kod jest ukryty w plikach binarnych C#, co utrudnia jego analizę.
  • Dłuższy czas utrzymywania się : złośliwe oprogramowanie pozostaje na zainfekowanych urządzeniach dłużej i nie powoduje uruchomienia alertów bezpieczeństwa.
  • Taktyki unikania : Niekonwencjonalna architektura umożliwia ominięcie tradycyjnych skanów bezpieczeństwa.

Zidentyfikowano fałszywe aplikacje bankowe i mediów społecznościowych

Badacze zidentyfikowali wiele fałszywych aplikacji korzystających z .NET MAUI, zbiorczo określanych jako FakeApp. Niektóre z godnych uwagi fałszywych aplikacji obejmują:

Fałszywe aplikacje bankowe:

Karta kredytowa Indus (indus.credit.card)

Karta Indusind (com.rewardz.card)

Fałszywe aplikacje społecznościowe i użytkowe:

Kupidyn (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (album prywatny) (pBOnCi.cUVNXz)

小宇宙 (Mały Wszechświat) (p9Z2Ej.cplkQv)

Aplikacje te podstępem nakłaniają użytkowników do zainstalowania ich, a następnie po cichu pobierają i przesyłają ich dane osobowe na serwer kontrolowany przez atakującego.

Jak oszukuje się użytkowników

W przeciwieństwie do legalnych aplikacji dystrybuowanych za pośrednictwem Google Play, te fałszywe aplikacje polegają na oszukańczych taktykach dystrybucji. Atakujący wysyłają fałszywe linki za pośrednictwem aplikacji do przesyłania wiadomości, kierując użytkowników do nieoficjalnych sklepów z aplikacjami, gdzie nieświadomie pobierają złośliwe oprogramowanie.

Na przykład:

  • Fałszywa aplikacja bankowa podszywa się pod indyjską instytucję finansową, aby wykraść pełne imiona i nazwiska użytkowników, numery telefonów komórkowych, dane kart kredytowych i dowody osobiste wydane przez organy rządowe.
  • Fałszywa aplikacja społecznościowa podszywająca się pod „X” (dawniej Twitter) zbiera kontakty, wiadomości SMS i zdjęcia, a jej celem są użytkownicy mówiący po chińsku.

Zaawansowane techniki unikania stosowane

Aby uniknąć wykrycia, złośliwe oprogramowanie stosuje wiele zaawansowanych technik:

  • Szyfrowana transmisja danych : Zebrane dane są wysyłane do serwera Command-and-Control (C2) przy użyciu szyfrowanej komunikacji przez gniazda.
  • Fałszywe uprawnienia : złośliwe oprogramowanie wstrzykuje bezsensowne uprawnienia (np. „android.permission.LhSSzIw6q”) do pliku AndroidManifest.xml, aby zmylić narzędzia analityczne.
  • Wieloetapowe dynamiczne ładowanie : Wykorzystuje ładowarkę szyfrowaną algorytmem XOR w celu uruchomienia ładunku zaszyfrowanego algorytmem AES, który następnie ładuje zestawy .NET MAUI zawierające faktyczne złośliwe oprogramowanie.
  • Interakcja użytkownika wyzwala złośliwe działania : podstawowy ładunek pozostaje ukryty w kodzie C#, aktywując się tylko wtedy, gdy użytkownik wchodzi w interakcję z aplikacją (np. naciskając przycisk). W tym momencie po cichu kradnie dane i przesyła je do serwera C2.

Jak zachować bezpieczeństwo

Biorąc pod uwagę coraz większą wyrafinowanie tych ataków, użytkownicy powinni podjąć proaktywne kroki, aby się chronić:

  • Unikaj sklepów z aplikacjami innych firm – Pobieraj aplikacje wyłącznie z Google Play lub zaufanych źródeł.
  • Sprawdź uprawnienia aplikacji – zachowaj ostrożność w przypadku aplikacji żądających niepotrzebnych uprawnień.
  • Uważaj na linki phishingowe – nie klikaj podejrzanych linków w wiadomościach.
  • Używaj oprogramowania antywirusowego – zainstaluj niezawodne rozwiązanie zabezpieczające urządzenia mobilne, aby wykrywać i usuwać potencjalne zagrożenia.

Cyberprzestępcy nieustannie udoskonalają swoje taktyki, dlatego najlepszą obroną przed nowymi zagrożeniami jest pozostawanie poinformowanym i ostrożnym.

Popularne

Oszustwo związane z pocztą e-mail na serwerze w chmurze

Phishing, Spam
Internet jest pełen oszukańczych schematów mających na celu wykorzystanie nieświadomych użytkowników, dlatego konieczne jest zachowanie ostrożności podczas przeglądania i obsługi wiadomości e-mail. Ataki phishingowe, takie jak oszustwo e-mailowe Mail Cloud Server, należą do najczęstszych zagrożeń, wykorzystujących taktyki socjotechniczne w celu kradzieży poufnych informacji. Rozumiejąc, jak...

Najczęściej oglądane

Ładowanie...