Поддельные приложения Android .NET MAUI
Эксперты по кибербезопасности обнаружили новую вредоносную кампанию для Android, которая использует фреймворк Microsoft .NET Multi-platform App UI (.NET MAUI). Эти опасные приложения, замаскированные под банковские и социальные медиа-приложения, в первую очередь нацелены на индийских и китайскоязычных пользователей и стремятся собирать конфиденциальную информацию.
Оглавление
Что такое .NET MAUI и почему он используется?
.NET MAUI — это кроссплатформенная среда Microsoft для разработки собственных приложений с использованием C# и XAML. Она произошла от Xamarin, предлагая разработчикам оптимизированный способ создания многоплатформенных приложений с помощью одного проекта, при этом допуская платформенно-специфичный код, где это необходимо.
Примечательно, что Microsoft официально прекратила поддержку Xamarin 1 мая 2024 года, поощряя разработчиков перейти на .NET MAUI. Злоумышленники быстро адаптировались, используя эту структуру для разработки новых вредоносных программ для Android, продолжая свою тенденцию к совершенствованию и развитию методов атак.
Как .NET MAUI помогает вредоносным программам обходить обнаружение
В отличие от традиционных приложений Android, которые полагаются на файлы DEX и собственные библиотеки, вредоносное ПО на основе .NET MAUI хранит свои основные функции в двоичных файлах C# blob. Это усложняет обнаружение, поскольку фреймворк действует как упаковщик, который помогает вредоносному ПО оставаться незамеченным на устройствах жертвы.
Используя .NET MAUI, киберпреступники получают ряд преимуществ:
- Скрытый режим : поврежденный код скрыт внутри двоичных файлов C#, что затрудняет его анализ.
- Длительное сохранение : вредоносное ПО остается на зараженных устройствах дольше, не вызывая оповещений системы безопасности.
- Тактика уклонения : нетрадиционная архитектура позволяет обходить традиционные сканирования безопасности.
Выявлены поддельные банковские приложения и приложения социальных сетей
Исследователи выявили несколько мошеннических приложений, использующих .NET MAUI, которые в совокупности называются FakeApp. Некоторые из известных мошеннических приложений включают:
Поддельные банковские приложения:
Кредитная карта Indus (indus.credit.card)
Карта Indusind (com.rewardz.card)
Поддельные социальные сети и служебные приложения:
Купидон (pommNC.csTgAT)
X•GDN (pgkhe9.ckJo4P)
迷城 (Мичэн) (pCDhCg.cEOngl)
私密相册 (Частный альбом) (pBOnCi.cUVNXz)
小宇宙 (Маленькая Вселенная) (p9Z2Ej.cplkQv)
Эти приложения обманывают пользователей, заставляя их установить их, а затем незаметно извлекают и передают их персональные данные на сервер, контролируемый злоумышленником.
Как обманывают пользователей
В отличие от легитимных приложений, распространяемых через Google Play, эти поддельные приложения используют обманные тактики для распространения. Злоумышленники отправляют мошеннические ссылки через приложения для обмена сообщениями, направляя пользователей в неофициальные магазины приложений, где они неосознанно скачивают вредоносное ПО.
Например:
- Поддельное банковское приложение выдает себя за индийское финансовое учреждение, чтобы похищать полные имена пользователей, номера мобильных телефонов, данные кредитных карт и выданные правительством удостоверения личности.
- Мошенническое приложение социальной сети, имитирующее «X» (ранее Twitter), собирает контакты, SMS-сообщения и фотографии, ориентируясь на пользователей, говорящих на китайском языке.
Используемые передовые методы уклонения
Чтобы избежать обнаружения, вредоносная программа использует несколько сложных методов:
- Зашифрованная передача данных : собранные данные отправляются на сервер управления и контроля (C2) с использованием зашифрованного сокетного соединения.
- Поддельные разрешения : вредоносная программа внедряет бессмысленные разрешения (например, «android.permission.LhSSzIw6q») в файл AndroidManifest.xml, чтобы запутать инструменты анализа.
- Многоступенчатая динамическая загрузка : использует зашифрованный с помощью XOR загрузчик для запуска зашифрованной с помощью AES полезной нагрузки, которая затем загружает сборки .NET MAUI, содержащие фактическое вредоносное ПО.
- Взаимодействие пользователя запускает вредоносные действия : основная полезная нагрузка остается скрытой в коде C#, активируясь только тогда, когда пользователь взаимодействует с приложением (например, нажимает кнопку). В этот момент он молча крадет данные и передает их на сервер C2.
Как оставаться в безопасности
Учитывая растущую изощренность этих атак, пользователям следует принимать активные меры для своей защиты:
- Избегайте сторонних магазинов приложений . Загружайте приложения только из Google Play или надежных источников.
- Проверьте разрешения приложений . Будьте осторожны с приложениями, запрашивающими ненужные разрешения.
- Будьте бдительны в отношении фишинговых ссылок . Не нажимайте на подозрительные ссылки в сообщениях.
- Используйте антивирусное программное обеспечение — установите надежное решение для безопасности мобильных устройств, чтобы обнаруживать и устранять потенциальные угрозы.
Поскольку киберпреступники постоянно совершенствуют свою тактику, лучшая защита от этих новых угроз — это быть информированным и осторожным.
