Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara .NET MAUI Falska Android-appar

.NET MAUI Falska Android-appar

Med Mezo år Mobil skadlig programvara
Översätt till:
Svenska

Cybersäkerhetsexperter har upptäckt en ny Android-kampanj för skadlig programvara som utnyttjar Microsofts .NET Multi-platform App UI (.NET MAUI) ramverk. Förklädda som bank- och sociala medieapplikationer riktar dessa hotfulla applikationer sig främst till indiska och kinesisktalande användare och syftar till att samla in känslig information.

Vad är .NET MAUI och varför används det?

.NET MAUI är Microsofts plattformsoberoende ramverk för att utveckla inbyggda applikationer med C# och XAML. Det utvecklades från Xamarin, och erbjuder utvecklare ett strömlinjeformat sätt att skapa flerplattformsapplikationer med ett enda projekt samtidigt som det tillåter plattformsspecifik kod där det behövs.

Noterbart är att Microsoft officiellt avslutade stödet för Xamarin den 1 maj 2024, vilket uppmuntrade utvecklare att gå över till .NET MAUI. Hotaktörer har snabbt anpassat sig och utnyttjar detta ramverk för att utveckla ny skadlig programvara för Android, och fortsätter sin trend att förfina och utveckla attackmetoder.

Hur .NET MAUI hjälper till att upptäcka skadlig programvara

Till skillnad från traditionella Android-applikationer, som förlitar sig på DEX-filer och inbyggda bibliotek, lagrar den .NET MAUI-baserade skadliga programvaran sina kärnfunktioner i C# blob-binärer. Detta gör upptäckten mer utmanande, eftersom ramverket fungerar som en packare som hjälper skadlig programvara att kvarstå oupptäckt på offrets enheter.

Genom att använda .NET MAUI får cyberkriminella flera fördelar:

  • Stealth Mode : Den skadade koden är gömd i C#-binärer, vilket gör det svårare att analysera.
  • Utökad persistens : Skadlig programvara finns kvar på infekterade enheter längre utan att utlösa säkerhetsvarningar.
  • Evasion Tactics : Den okonventionella arkitekturen gör det möjligt att kringgå traditionella säkerhetsskanningar.

Falska bank- och sociala medieapplikationer identifierade

Forskare har identifierat flera bedrägliga appar som använder .NET MAUI, gemensamt kallad FakeApp. Några av de anmärkningsvärda falska applikationerna inkluderar:

Falska bankapplikationer:

Indus kreditkort (indus.credit.card)

Indusind Card (com.rewardz.card)

Falska sociala medier och hjälpprogram:

Cupid (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Privat album) (pBOnCi.cUVNXz)

小宇宙 (Lilla universum) (p9Z2Ej.cplkQv)

Dessa applikationer lurar användare att installera dem, sedan extraherar och överför sina personliga data tyst till en angriparkontrollerad server.

Hur användare luras

Till skillnad från legitima applikationer som distribueras via Google Play, förlitar sig dessa falska applikationer på vilseledande taktik för distribution. Angripare skickar bedrägliga länkar genom meddelandeapplikationer, vilket leder användare till inofficiella appbutiker där de omedvetet laddar ner skadlig programvara.

Till exempel:

  • En falsk bankapplikation utger sig för att vara en indisk finansiell institution för att stjäla användarnas fullständiga namn, mobilnummer, kreditkortsuppgifter och statligt utfärdade ID.
  • En bedräglig app för sociala medier som efterliknar "X" (tidigare Twitter) samlar in kontakter, SMS och foton, riktade mot kinesisktalande användare.

De avancerade undanflyktsteknikerna som används

För att undvika upptäckt använder den skadliga programvaran flera sofistikerade tekniker:

  • Krypterad dataöverföring : Inhämtad data skickas till en Command-and-Control-server (C2) med hjälp av krypterad socket-kommunikation.
  • Falska behörigheter : Skadlig programvara injicerar meningslösa behörigheter (t.ex. 'android.permission.LhSSzIw6q') i filen AndroidManifest.xml för att förvirra analysverktygen.
  • Dynamisk laddning i flera steg : Den använder en XOR-krypterad laddare för att starta en AES-krypterad nyttolast, som sedan laddar .NET MAUI-sammansättningarna som innehåller den faktiska skadliga programvaran.
  • Användarinteraktion utlöser skadliga åtgärder : Kärnnyttolasten förblir dold i C#-koden och aktiveras endast när användaren interagerar med appen (t.ex. genom att trycka på en knapp). Vid den tidpunkten stjäl den data tyst och överför den till C2-servern.

Hur man förblir säker

Med tanke på den ökande sofistikeringen av dessa attacker bör användare vidta proaktiva åtgärder för att skydda sig själva:

  • Undvik appbutiker från tredje part – Ladda bara ned appar från Google Play eller betrodda källor.
  • Verifiera applikationsbehörigheter – Var försiktig med applikationer som begär onödiga behörigheter.
  • Var uppmärksam på nätfiske-länkar – Klicka inte på misstänkta länkar i meddelanden.
  • Använd programvara mot skadlig programvara – Installera en pålitlig mobil säkerhetslösning för att upptäcka och ta bort potentiella hot.

Med cyberbrottslingar som kontinuerligt utvecklar sin taktik, är det bästa försvaret mot dessa nya hot att hålla sig informerad och försiktig.

Trendigt

Mest sedda

Läser in...