Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér .NET MAUI Falošné aplikácie pre Android

.NET MAUI Falošné aplikácie pre Android

Do roku Mezo v roku Mobilný malvér
Preložiť do:
Slovenčina

Odborníci na kybernetickú bezpečnosť odhalili novú kampaň na malvér pre Android, ktorá využíva rámec Microsoftu .NET Multi-platform App UI (.NET MAUI). Tieto hrozivé aplikácie, ktoré sú maskované ako bankové aplikácie a aplikácie sociálnych médií, sa primárne zameriavajú na indických a čínsky hovoriacich používateľov a ich cieľom je získavať citlivé informácie.

Čo je .NET MAUI a prečo sa používa?

.NET MAUI je multiplatformový rámec spoločnosti Microsoft na vývoj natívnych aplikácií pomocou C# a XAML. Vyvinul sa z Xamarin a ponúka vývojárom efektívny spôsob vytvárania multiplatformových aplikácií s jediným projektom, pričom v prípade potreby umožňuje kód špecifický pre platformu.

Microsoft oficiálne ukončil podporu pre Xamarin 1. mája 2024, čím povzbudil vývojárov, aby prešli na .NET MAUI. Aktéri hrozieb sa rýchlo prispôsobili a využili tento rámec na vývoj nového škodlivého softvéru pre Android a pokračovali v trende zdokonaľovania a vývoja metód útokov.

Ako .NET MAUI pomáha malvéru vyhnúť sa detekcii

Na rozdiel od tradičných aplikácií pre Android, ktoré sa spoliehajú na súbory DEX a natívne knižnice, malvér založený na .NET MAUI ukladá svoje základné funkcie v binárnych súboroch objektov C#. Vďaka tomu je detekcia náročnejšia, pretože rámec funguje ako balič, ktorý pomáha malvéru pretrvávať nezistene na zariadeniach obetí.

Využitím .NET MAUI získajú počítačoví zločinci niekoľko výhod:

  • Stealth Mode : Poškodený kód je skrytý v binárnych súboroch C#, čo sťažuje analýzu.
  • Extended Persistence : Malvér zostáva na infikovaných zariadeniach dlhšie bez spúšťania bezpečnostných upozornení.
  • Taktika úniku : Nekonvenčná architektúra umožňuje obísť tradičné bezpečnostné kontroly.

Identifikované falošné bankovníctvo a aplikácie sociálnych médií

Výskumníci identifikovali viacero podvodných aplikácií pomocou .NET MAUI, spoločne označovaného ako FakeApp. Niektoré z pozoruhodných falošných aplikácií zahŕňajú:

Falošné bankové aplikácie:

Kreditná karta Indus (indus.credit.card)

Indusind Card (com.rewardz.card)

Falošné sociálne médiá a pomocné aplikácie:

Cupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (súkromný album) (pBOnCi.cUVNXz)

小宇宙 (Malý vesmír) (p9Z2Ej.cplkQv)

Tieto aplikácie oklamú používateľov, aby si ich nainštalovali, potom v tichosti extrahujú a prenesú ich osobné údaje na server kontrolovaný útočníkom.

Ako sú používatelia oklamaní

Na rozdiel od legitímnych aplikácií distribuovaných prostredníctvom služby Google Play sa tieto falošné aplikácie pri distribúcii spoliehajú na klamlivú taktiku. Útočníci posielajú podvodné odkazy prostredníctvom aplikácií na odosielanie správ, čo vedie používateľov do neoficiálnych obchodov s aplikáciami, kde si nevedomky stiahnu malvér.

Napríklad:

  • Falošná banková aplikácia sa vydáva za indickú finančnú inštitúciu s cieľom ukradnúť používateľom celé mená, mobilné čísla, podrobnosti o kreditných kartách a identifikačné čísla vydané vládou.
  • Podvodná aplikácia sociálnych médií napodobňujúca „X“ (predtým Twitter) zbiera kontakty, SMS správy a fotografie a zameriava sa na čínsky hovoriacich používateľov.

Použité pokročilé únikové techniky

Aby sa zabránilo odhaleniu, malvér využíva viacero sofistikovaných techník:

  • Šifrovaný prenos údajov : Zozbierané údaje sa odosielajú na server Command-and-Control (C2) pomocou šifrovanej soketovej komunikácie.
  • Falošné povolenia : Malvér vkladá do súboru AndroidManifest.xml nezmyselné povolenia (napr. 'android.permission.LhSSzIw6q'), aby zmiatol analytické nástroje.
  • Viacstupňové dynamické načítanie : Využíva XOR-šifrovaný zavádzač na spustenie AES-šifrovaného užitočného obsahu, ktorý potom načíta zostavy .NET MAUI obsahujúce skutočný malvér.
  • Interakcia používateľa spúšťa škodlivé akcie : Hlavná užitočná časť zostáva skrytá v kóde C# a aktivuje sa iba vtedy, keď používateľ interaguje s aplikáciou (napr. stlačením tlačidla). V tomto bode ticho ukradne údaje a odošle ich na server C2.

Ako zostať v bezpečí

Vzhľadom na rastúcu sofistikovanosť týchto útokov by používatelia mali podniknúť proaktívne kroky na svoju ochranu:

  • Vyhnite sa obchodom s aplikáciami tretích strán – sťahujte aplikácie iba zo služby Google Play alebo z dôveryhodných zdrojov.
  • Overte povolenia aplikácie – Buďte opatrní pri aplikáciách požadujúcich zbytočné povolenia.
  • Buďte opatrní pri phishingových odkazoch – Neklikajte na podozrivé odkazy v správach.
  • Používajte antimalvérový softvér – Nainštalujte si spoľahlivé mobilné bezpečnostné riešenie na detekciu a odstránenie potenciálnych hrozieb.

Keďže počítačoví zločinci neustále vyvíjajú svoje taktiky, zostať informovaný a obozretný je najlepšou obranou proti týmto vznikajúcim hrozbám.

Trendy

Chyba zabezpečenia CVE-2025-24201

Zraniteľnosť
Spoločnosť Apple oznámila vydanie kritickej aktualizácie zabezpečenia, ktorá má opraviť zraniteľnosť nultého dňa, označenú ako CVE-2025-24201. Táto chyba, ktorá bola aktívne využívaná pri „extrémne sofistikovaných“ útokoch, ovplyvňuje jadro webového prehliadača WebKit. Problém sa týka chyby zabezpečenia pre zápis, ktorá by mohla útočníkom umožniť obísť karanténu Web Content a potenciálne...

Najviac videné

Načítava...