Popust za več licenc
Podjetje o grožnjah Mobilna zlonamerna programska oprema .NET MAUI Lažne aplikacije za Android

.NET MAUI Lažne aplikacije za Android

Do leta Mezo leta Mobilna zlonamerna programska oprema
Prevedi v:
Slovenščina

Strokovnjaki za kibernetsko varnost so odkrili novo kampanjo zlonamerne programske opreme za Android, ki izkorišča Microsoftov okvir .NET Multi-platform App UI (.NET MAUI). Preoblečene v aplikacije za bančništvo in družbene medije, so te grozilne aplikacije namenjene predvsem indijsko in kitajsko govorečim uporabnikom, cilj pa je pridobivanje občutljivih informacij.

Kaj je .NET MAUI in zakaj se uporablja?

.NET MAUI je Microsoftov medplatformski okvir za razvoj izvornih aplikacij z uporabo C# in XAML. Razvil se je iz Xamarina in razvijalcem ponuja poenostavljen način za ustvarjanje aplikacij za več platform z enim samim projektom, hkrati pa omogoča kodo, specifično za platformo, kjer je to potrebno.

Predvsem Microsoft je 1. maja 2024 uradno prekinil podporo za Xamarin in s tem spodbudil razvijalce k prehodu na .NET MAUI. Akterji groženj so se hitro prilagodili in izkoristili ta okvir za razvoj nove zlonamerne programske opreme za Android ter nadaljevali svoj trend izpopolnjevanja in razvijanja metod napada.

Kako .NET MAUI pomaga preprečiti odkrivanje zlonamerne programske opreme

Za razliko od tradicionalnih aplikacij za Android, ki se zanašajo na datoteke DEX in izvorne knjižnice, zlonamerna programska oprema, ki temelji na .NET MAUI, shranjuje svoje osnovne funkcije v binarnih datotekah C#. Zaradi tega je odkrivanje zahtevnejše, saj ogrodje deluje kot pakirnik, ki pomaga, da zlonamerna programska oprema ostane nezaznana na napravah žrtve.

Z uporabo .NET MAUI kibernetski kriminalci pridobijo več prednosti:

  • Prikriti način : poškodovana koda je skrita v binarnih datotekah C#, zaradi česar jo je težje analizirati.
  • Podaljšana obstojnost : zlonamerna programska oprema ostane na okuženih napravah dlje časa, ne da bi sprožila varnostna opozorila.
  • Taktike izogibanja : Nekonvencionalna arhitektura omogoča obid tradicionalnih varnostnih pregledov.

Identificirane lažne aplikacije za bančništvo in družbene medije

Raziskovalci so identificirali več goljufivih aplikacij, ki uporabljajo .NET MAUI, skupaj imenovano FakeApp. Nekatere pomembne lažne aplikacije vključujejo:

Lažne bančne aplikacije:

Kreditna kartica Indus (indus.credit.card)

Kartica Indusind (com.rewardz.card)

Lažni družbeni mediji in pripomočki:

Kupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (zasebni album) (pBOnCi.cUVNXz)

小宇宙 (Malo vesolje) (p9Z2Ej.cplkQv)

Te aplikacije zavedejo uporabnike, da jih namestijo, nato tiho ekstrahirajo in prenesejo njihove osebne podatke na strežnik, ki ga nadzoruje napadalec.

Kako so uporabniki prevarani

Za razliko od zakonitih aplikacij, ki se distribuirajo prek Googla Play, se te lažne aplikacije pri distribuciji zanašajo na zavajajoče taktike. Napadalci prek aplikacij za sporočanje pošiljajo goljufive povezave, ki uporabnike vodijo v neuradne trgovine z aplikacijami, kjer nevede prenesejo zlonamerno programsko opremo.

Na primer:

  • Lažna bančna aplikacija se lažno predstavlja kot indijska finančna ustanova, da bi ukradla polna imena uporabnikov, številke mobilnih telefonov, podatke o kreditni kartici in osebne izkaznice, ki jih je izdal državni organ.
  • Goljufiva aplikacija za družbene medije, ki posnema "X" (prej Twitter), zbira stike, sporočila SMS in fotografije ter cilja na kitajsko govoreče uporabnike.

Uporabljene napredne tehnike izogibanja

Da bi se izognila odkritju, zlonamerna programska oprema uporablja več sofisticiranih tehnik:

  • Prenos šifriranih podatkov : zbrani podatki se pošljejo strežniku za upravljanje in nadzor (C2) s pomočjo šifrirane komunikacije vtičnice.
  • Lažna dovoljenja : zlonamerna programska oprema vstavi nesmiselna dovoljenja (npr. 'android.permission.LhSSzIw6q') v datoteko AndroidManifest.xml, da zmede orodja za analizo.
  • Večstopenjsko dinamično nalaganje : uporablja nalagalnik, šifriran z XOR, za zagon koristnega tovora, šifriranega z AES, ki nato naloži sklope .NET MAUI, ki vsebujejo dejansko zlonamerno programsko opremo.
  • Interakcija uporabnika sproži zlonamerna dejanja : Jedro koristnega tovora ostane skrito v kodi C# in se aktivira šele, ko uporabnik komunicira z aplikacijo (npr. pritisne gumb). Takrat tiho ukrade podatke in jih prenese na strežnik C2.

Kako ostati varen

Glede na vse večjo sofisticiranost teh napadov bi morali uporabniki sprejeti proaktivne ukrepe, da se zaščitijo:

  • Izogibajte se trgovinam z aplikacijami tretjih oseb – aplikacije prenašajte samo iz trgovine Google Play ali zaupanja vrednih virov.
  • Preverite dovoljenja za aplikacije – bodite previdni pri aplikacijah, ki zahtevajo nepotrebna dovoljenja.
  • Bodite pozorni na povezave z lažnim predstavljanjem – ne klikajte sumljivih povezav v sporočilih.
  • Uporabite programsko opremo proti zlonamerni programski opremi – namestite zanesljivo mobilno varnostno rešitev za odkrivanje in odstranjevanje morebitnih groženj.

Ker kibernetski kriminalci nenehno razvijajo svoje taktike, je obveščenost in previdnost najboljša obramba pred temi nastajajočimi grožnjami.

V trendu

Mail Cloud Server e-poštna prevara

Lažno predstavljanje, Neželena pošta
Internet je poln zavajajočih shem, namenjenih izkoriščanju nič hudega slutečih uporabnikov, zaradi česar morate ostati previdni med brskanjem in ravnanjem z e-pošto. Napadi lažnega predstavljanja, kot je e-poštna prevara Mail Cloud Server, so med najpogostejšimi grožnjami, ki uporabljajo taktike socialnega inženiringa za krajo občutljivih podatkov. Z razumevanjem delovanja te prevare lahko...

Najbolj gledan

Nalaganje...