Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel .NET MAUI Fake Android Apps

.NET MAUI Fake Android Apps

Por Mezo em Malware móvel
Traduzir Para:
Português

Os especialistas em segurança cibernética descobriram uma nova campanha de malware para Android que explora a estrutura .NET Multi-platform App UI (.NET MAUI) da Microsoft. Disfarçados como aplicativos bancários e de mídia social, esses aplicativos ameaçadores têm como alvo principal usuários indianos e de língua chinesa e visam coletar informações confidenciais.

O Que é o .NET MAUI e Por Que Ele está sendo Usado?

O .NET MAUI é o framework multiplataforma da Microsoft para desenvolver aplicativos nativos usando C# e XAML. Ele evoluiu do Xamarin, oferecendo aos desenvolvedores uma maneira simplificada de criar aplicativos multiplataforma com um único projeto, ao mesmo tempo em que permite código específico da plataforma quando necessário.

Notavelmente, a Microsoft encerrou oficialmente o suporte ao Xamarin em 1º de maio de 2024, encorajando os desenvolvedores a fazer a transição para o .NET MAUI. Os agentes de ameaças se adaptaram rapidamente, aproveitando essa estrutura para desenvolver novos malwares para Android, continuando sua tendência de refinar e evoluir métodos de ataque.

Como o .NET MAUI Ajuda o Malware a Escapar da Detecção

Diferentemente dos aplicativos Android tradicionais, que dependem de arquivos DEX e bibliotecas nativas, o malware baseado em .NET MAUI armazena suas principais funcionalidades em binários blob C#. Isso torna a detecção mais desafiadora, pois a estrutura atua como um compactador que ajuda o malware a persistir sem ser detectado nos dispositivos das vítimas.

Ao utilizar o .NET MAUI, os cibercriminosos ganham diversas vantagens:

  • Modo Stealth : O código corrompido fica oculto dentro de binários C#, dificultando sua análise.
  • Persistência estendida : O malware permanece em dispositivos infectados por mais tempo sem disparar alertas de segurança.
  • Táticas de evasão : A arquitetura não convencional permite ignorar as varreduras de segurança tradicionais.

Identificados os Falsos Aplicativos Bancários e de Mídia Social

Os pesquisadores identificaram vários aplicativos fraudulentos usando o .NET MAUI, coletivamente chamados de FakeApp. Alguns dos aplicativos falsos notáveis incluem:

Aplicativos bancários falsos:

Cartão de crédito Indus (indus.credit.card)

Cartão Indusind (com.rewardz.card)

Aplicativos falsos de mídia social e utilitários:

Cupido (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Álbum Privado) (pBOnCi.cUVNXz)

小宇宙 (Pequeno Universo) (p9Z2Ej.cplkQv)

Esses aplicativos induzem os usuários a instalá-los e, em seguida, extraem e transmitem silenciosamente seus dados pessoais para um servidor controlado pelo invasor.

Como os Usuários estão sendo Enganados

Diferentemente de aplicativos legítimos distribuídos pelo Google Play, esses aplicativos falsos dependem de táticas enganosas para distribuição. Os invasores enviam links fraudulentos por meio de aplicativos de mensagens, levando os usuários a lojas de aplicativos não oficiais, onde eles baixam o malware sem saber.

Por exemplo:

  • Um aplicativo bancário falso se passa por uma instituição financeira indiana para roubar nomes completos, números de celular, detalhes de cartão de crédito e documentos de identidade emitidos pelo governo dos usuários.
  • Um aplicativo fraudulento de mídia social que imita o "X" (antigo Twitter) coleta contatos, mensagens SMS e fotos, visando usuários que falam chinês.

As Avançadas Técnicas de Evasão Utilizadas

Para evitar a detecção, o malware emprega diversas técnicas sofisticadas:

  • Transmissão de dados criptografados : Os dados coletados são enviados para um servidor de comando e controle (C2) usando comunicação de soquete criptografada.
  • Permissões falsas : O malware injeta permissões sem sentido (por exemplo, 'android.permission.LhSSzIw6q') no arquivo AndroidManifest.xml para confundir as ferramentas de análise.
  • Carregamento dinâmico em vários estágios : Ele utiliza um carregador criptografado por XOR para iniciar uma carga criptografada por AES, que então carrega os conjuntos .NET MAUI contendo o malware real.
  • A interação do usuário desencadeia ações maliciosas : O payload principal permanece oculto no código C#, ativando-se somente quando o usuário interage com o aplicativo (por exemplo, pressionando um botão). Nesse ponto, ele rouba dados silenciosamente e os transmite para o servidor C2.

Como Se Manter Seguro

Dada a sofisticação crescente desses ataques, os usuários devem tomar medidas proativas para se proteger:

  • Evite lojas de aplicativos de terceiros – Baixe aplicativos somente do Google Play ou de fontes confiáveis.
  • Verifique as permissões do aplicativo – Tenha cuidado com aplicativos que solicitam permissões desnecessárias.
  • Fique atento a links de phishing – Não clique em links suspeitos em mensagens.
  • Use software antimalware – Instale uma solução de segurança móvel confiável para detectar e remover ameaças potenciais.

Com os cibercriminosos evoluindo continuamente suas táticas, manter-se informado e cauteloso é a melhor defesa contra essas ameaças emergentes.

Tendendo

Mais visto

Carregando...