ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์บนมือถือ .NET MAUI แอพปลอมสำหรับ Android

.NET MAUI แอพปลอมสำหรับ Android

โดย Mezo ใน มัลแวร์บนมือถือ
แปลเป็น:
ภาษาไทย

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยแคมเปญมัลแวร์บนระบบปฏิบัติการ Android ตัวใหม่ที่ใช้ประโยชน์จากเฟรมเวิร์ก .NET Multi-platform App UI (.NET MAUI) ของ Microsoft แอปพลิเคชั่นที่คุกคามเหล่านี้ซึ่งปลอมตัวเป็นแอปพลิเคชั่นทางการเงินและโซเชียลมีเดีย มีเป้าหมายหลักคือผู้ใช้ที่พูดภาษาอินเดียและจีน และมุ่งเป้าไปที่การรวบรวมข้อมูลที่ละเอียดอ่อน

.NET MAUI คืออะไร และเหตุใดจึงใช้กัน?

.NET MAUI คือกรอบงานข้ามแพลตฟอร์มของ Microsoft สำหรับการพัฒนาแอปพลิเคชันเนทีฟโดยใช้ C# และ XAML กรอบงานพัฒนามาจาก Xamarin โดยมอบวิธีการที่คล่องตัวสำหรับนักพัฒนาในการสร้างแอปพลิเคชันหลายแพลตฟอร์มด้วยโปรเจ็กต์เดียว ขณะเดียวกันก็อนุญาตให้เขียนโค้ดเฉพาะแพลตฟอร์มได้เมื่อจำเป็น

Microsoft ยุติการสนับสนุน Xamarin อย่างเป็นทางการเมื่อวันที่ 1 พฤษภาคม 2024 โดยส่งเสริมให้นักพัฒนาเปลี่ยนไปใช้ .NET MAUI ผู้ก่อภัยคุกคามได้ปรับตัวอย่างรวดเร็วโดยใช้กรอบงานนี้ในการพัฒนามัลแวร์ Android ตัวใหม่ และยังคงแนวโน้มในการปรับปรุงและพัฒนาวิธีการโจมตีต่อไป

.NET MAUI ช่วยให้มัลแวร์หลีกเลี่ยงการตรวจจับได้อย่างไร

ต่างจากแอปพลิเคชัน Android ทั่วไปที่อาศัยไฟล์ DEX และไลบรารีเนทีฟ มัลแวร์ที่ใช้ .NET MAUI จะจัดเก็บฟังก์ชันหลักไว้ในไบนารีแบบบล็อบของ C# ซึ่งทำให้การตรวจจับทำได้ยากขึ้น เนื่องจากเฟรมเวิร์กทำหน้าที่เป็นแพ็กเกอร์ที่ช่วยให้มัลแวร์ยังคงอยู่บนอุปกรณ์ของเหยื่อโดยไม่ถูกตรวจพบ

การใช้ .NET MAUI ทำให้ผู้ก่ออาชญากรรมทางไซเบอร์ได้รับประโยชน์หลายประการ:

  • โหมดซ่อนตัว : โค้ดที่เสียหายจะถูกซ่อนไว้ในไฟล์ไบนารี C# ซึ่งทำให้วิเคราะห์ได้ยากขึ้น
  • ความคงอยู่เป็นเวลานาน : มัลแวร์จะคงอยู่ในอุปกรณ์ที่ติดไวรัสเป็นเวลานานขึ้นโดยไม่ส่งการแจ้งเตือนด้านความปลอดภัย
  • กลยุทธ์การหลีกเลี่ยง : สถาปัตยกรรมที่ไม่ธรรมดาช่วยให้สามารถหลีกเลี่ยงการสแกนความปลอดภัยแบบดั้งเดิมได้

ระบุแอปพลิเคชั่นธนาคารและโซเชียลมีเดียปลอม

นักวิจัยได้ระบุแอปปลอมหลายตัวที่ใช้ .NET MAUI ซึ่งเรียกรวมกันว่า FakeApp แอปพลิเคชันปลอมที่น่าสังเกตได้แก่:

แอปพลิเคชั่นธนาคารปลอม:

บัตรเครดิตอินดัส (indus.credit.card)

บัตรอินดัสอินด์ (com.rewardz.card)

โซเชียลมีเดียปลอมและแอปพลิเคชั่นยูทิลิตี้:

กามเทพ (pommNC.csTgAT)

เอ็กซ์•จีดีเอ็น (pgkhe9.ckJo4P)

迷城 (มีเฉิง) (pCDhCg.ceOngl)

私密相册 (อัลบั้มส่วนตัว) (pBOnCi.cUVNXz)

ลิตเติ้ลจักรวาล (p9Z2Ej.cplkQv)

แอปพลิเคชันเหล่านี้หลอกผู้ใช้ให้ติดตั้ง จากนั้นดึงข้อมูลส่วนตัวของผู้ใช้และส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีโดยไม่แจ้งให้ทราบ

ผู้ใช้ถูกหลอกได้อย่างไร

ต่างจากแอปพลิเคชันที่ถูกกฎหมายที่เผยแพร่ผ่าน Google Play แอปพลิเคชันปลอมเหล่านี้อาศัยกลวิธีหลอกลวงในการเผยแพร่ ผู้โจมตีจะส่งลิงก์ปลอมผ่านแอปพลิเคชันส่งข้อความ ซึ่งทำให้ผู้ใช้ไปยังร้านค้าแอปที่ไม่เป็นทางการ ซึ่งผู้ใช้จะดาวน์โหลดมัลแวร์โดยไม่รู้ตัว

เช่น:

  • แอปพลิเคชันธนาคารปลอมนั้นปลอมตัวเป็นสถาบันการเงินของอินเดียเพื่อขโมยชื่อนามสกุล หมายเลขโทรศัพท์มือถือ รายละเอียดบัตรเครดิต และบัตรประจำตัวที่ออกโดยรัฐบาลของผู้ใช้
  • แอปโซเชียลมีเดียหลอกลวงที่เลียนแบบ "X" (เดิมคือ Twitter) รวบรวมข้อมูลรายชื่อผู้ติดต่อ ข้อความ SMS และรูปถ่าย โดยกำหนดเป้าหมายไปที่ผู้ใช้ที่พูดภาษาจีน

เทคนิคการหลบเลี่ยงขั้นสูงที่ใช้

เพื่อหลีกเลี่ยงการตรวจจับ มัลแวร์จึงใช้เทคนิคที่ซับซ้อนหลายวิธี:

  • การส่งข้อมูลแบบเข้ารหัส : ข้อมูลที่รวบรวมจะถูกส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) โดยใช้การสื่อสารซ็อกเก็ตแบบเข้ารหัส
  • การอนุญาตปลอม : มัลแวร์จะฉีดการอนุญาตที่ไม่มีความสำคัญ (เช่น 'android.permission.LhSSzIw6q') เข้าไปในไฟล์ AndroidManifest.xml เพื่อสร้างความสับสนให้กับเครื่องมือวิเคราะห์
  • การโหลดแบบไดนามิกหลายขั้นตอน : ใช้ตัวโหลดที่เข้ารหัส XOR เพื่อเปิดตัวเพย์โหลดที่เข้ารหัส AES ซึ่งโหลดแอสเซมบลี .NET MAUI ที่มีมัลแวร์จริง
  • การโต้ตอบของผู้ใช้จะกระตุ้นให้เกิดการกระทำที่เป็นอันตราย : เพย์โหลดหลักยังคงซ่อนอยู่ในโค้ด C# และเปิดใช้งานเฉพาะเมื่อผู้ใช้โต้ตอบกับแอป (เช่น กดปุ่ม) เมื่อถึงจุดนั้น เพย์โหลดจะขโมยข้อมูลอย่างเงียบ ๆ และส่งข้อมูลดังกล่าวไปยังเซิร์ฟเวอร์ C2

วิธีการอยู่ให้ปลอดภัย

เมื่อพิจารณาถึงความซับซ้อนที่เพิ่มมากขึ้นของการโจมตีเหล่านี้ ผู้ใช้ควรดำเนินขั้นตอนเชิงรุกเพื่อปกป้องตนเอง:

  • หลีกเลี่ยง App Store ของบุคคลที่สาม – ดาวน์โหลดแอพพลิเคชั่นจาก Google Play หรือแหล่งที่เชื่อถือได้เท่านั้น
  • ตรวจสอบสิทธิ์การใช้งานแอปพลิเคชัน – ระมัดระวังแอปพลิเคชันที่ขออนุญาตที่ไม่จำเป็น
  • ระวังลิงก์ฟิชชิ่ง – อย่าคลิกลิงก์ที่น่าสงสัยในข้อความ
  • ใช้ซอฟต์แวร์ป้องกันมัลแวร์ – ติดตั้งโซลูชันการรักษาความปลอดภัยบนมือถือที่เชื่อถือได้เพื่อตรวจจับและลบภัยคุกคามที่อาจเกิดขึ้น

เนื่องจากผู้ก่ออาชญากรรมทางไซเบอร์พัฒนากลยุทธ์อย่างต่อเนื่อง การคอยติดตามข้อมูลและระมัดระวังจึงเป็นแนวป้องกันที่ดีที่สุดต่อภัยคุกคามที่เกิดขึ้นเหล่านี้

มาแรง

การหลอกลวงทางอีเมลของเซิร์ฟเวอร์ Mail Cloud

ฟิชชิ่ง, สแปม
อินเทอร์เน็ตเต็มไปด้วยกลอุบายหลอกลวงที่ออกแบบมาเพื่อเอาเปรียบผู้ใช้ที่ไม่สงสัย ทำให้จำเป็นต้องระมัดระวังขณะเรียกดูและจัดการอีเมล การโจมตีแบบฟิชชิ่ง เช่น การหลอกลวงทางอีเมล Mail Cloud Server ถือเป็นภัยคุกคามที่พบบ่อยที่สุด โดยใช้กลวิธีทางวิศวกรรมสังคมเพื่อขโมยข้อมูลที่ละเอียดอ่อน เมื่อเข้าใจวิธีการทำงานของกลอุบายหลอกลวงนี้แล้ว...

ช่องโหว่ CVE-2025-24201

ความเสี่ยง
Apple ได้ประกาศเปิดตัวการอัปเดตด้านความปลอดภัยที่สำคัญเพื่อแก้ไขช่องโหว่ zero-day ที่ระบุได้ว่าเป็น CVE-2025-24201 ช่องโหว่นี้ซึ่งถูกใช้ประโยชน์อย่างแข็งขันในการโจมตีที่ "ซับซ้อนมาก" ส่งผลกระทบต่อเอ็นจิ้นเว็บเบราว์เซอร์ WebKit ปัญหาเกี่ยวข้องกับช่องโหว่การเขียนนอกขอบเขตที่อาจทำให้ผู้โจมตีสามารถข้ามแซนด์บ็อกซ์เนื้อหาเว็บได้ ซึ่งอาจส่งผลกระทบต่อความปลอดภัยของอุปกรณ์ CVE-2025-24201:...

เข้าชมมากที่สุด

'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
31,079
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

มัลแวร์

ฟิชชิ่ง, สแปม
28,661
ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...

ป๊อปอัป "iPhone ของคุณถูกแฮ็ก"

แอดแวร์
25,016
เนื่องจากเทคโนโลยีถูกรวมเข้ากับชีวิตประจำวันของเราอย่างมาก อาชญากรไซเบอร์จึงค้นหาวิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ด้วยเจตนาร้าย การหลอกลวงที่พบบ่อยอย่างหนึ่งที่ผู้ใช้ iPhone...
กำลังโหลด...