Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mobil Kötü Amaçlı Yazılım .NET MAUI Sahte Android Uygulamaları

.NET MAUI Sahte Android Uygulamaları

Mezo'de Mobil Kötü Amaçlı Yazılım'de
Çevir:
Türkçe

Siber güvenlik uzmanları, Microsoft'un .NET Çok Platformlu Uygulama Kullanıcı Arayüzü (.NET MAUI) çerçevesini kullanan yeni bir Android kötü amaçlı yazılım kampanyasını ortaya çıkardı. Bankacılık ve sosyal medya uygulamaları kılığına giren bu tehdit edici uygulamalar, öncelikle Hint ve Çince konuşan kullanıcıları hedef alıyor ve hassas bilgileri toplamayı amaçlıyor.

.NET MAUI Nedir ve Neden Kullanılmaktadır?

.NET MAUI, Microsoft'un C# ve XAML kullanarak yerel uygulamalar geliştirmek için çapraz platformlu çerçevesidir. Xamarin'den evrilerek geliştiricilere tek bir projeyle çok platformlu uygulamalar oluşturmanın kolaylaştırılmış bir yolunu sunarken gerektiğinde platforma özgü koda izin verir.

Özellikle Microsoft, 1 Mayıs 2024'te Xamarin desteğini resmen sonlandırarak geliştiricileri .NET MAUI'ye geçiş yapmaya teşvik etti. Tehdit aktörleri, saldırı yöntemlerini iyileştirme ve geliştirme eğilimlerini sürdürerek bu çerçeveyi yeni Android kötü amaçlı yazılımları geliştirmek için kullanarak hızla uyum sağladılar.

.NET MAUI Kötü Amaçlı Yazılımların Algılanmasından Kaçmasına Nasıl Yardımcı Olur

DEX dosyalarına ve yerel kütüphanelere dayanan geleneksel Android uygulamalarının aksine, .NET MAUI tabanlı kötü amaçlı yazılım temel işlevlerini C# blob ikili dosyalarında depolar. Bu, çerçevenin kötü amaçlı yazılımın kurban cihazlarda algılanmadan kalmasına yardımcı olan bir paketleyici görevi görmesi nedeniyle algılamayı daha zor hale getirir.

Siber suçlular .NET MAUI'yi kullanarak çeşitli avantajlar elde ediyor:

  • Gizli Mod : Bozuk kod, C# ikili dosyalarının içinde gizli olduğundan analiz edilmesi daha zor hale geliyor.
  • Uzun Süreli Kalıcılık : Kötü amaçlı yazılım, güvenlik uyarılarını tetiklemeden enfekte olmuş cihazlarda daha uzun süre kalır.
  • Kaçınma Taktikleri : Geleneksel olmayan mimari, geleneksel güvenlik taramalarını atlatmaya olanak tanır.

Sahte Bankacılık ve Sosyal Medya Uygulamaları Tespit Edildi

Araştırmacılar, toplu olarak FakeApp olarak adlandırılan .NET MAUI kullanan birden fazla sahte uygulama tespit ettiler. Dikkat çeken sahte uygulamalardan bazıları şunlardır:

Sahte Bankacılık Uygulamaları:

Indus Kredi Kartı (indus.credit.card)

Indusind Kartı (com.rewardz.card)

Sahte Sosyal Medya ve Yardımcı Uygulamalar:

Aşk Tanrısı (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Özel Albüm) (pBOnCi.cUVNXz)

小宇宙 (Küçük Evren) (p9Z2Ej.cplkQv)

Bu uygulamalar kullanıcıları kandırarak kendilerini yüklemelerini sağlıyor, ardından kişisel verilerini sessizce çıkarıp saldırganların kontrolündeki bir sunucuya iletiyor.

Kullanıcılar Nasıl Kandırılıyor?

Google Play aracılığıyla dağıtılan meşru uygulamaların aksine, bu sahte uygulamalar dağıtım için aldatıcı taktiklere güvenir. Saldırganlar, mesajlaşma uygulamaları aracılığıyla sahte bağlantılar göndererek kullanıcıları farkında olmadan kötü amaçlı yazılımı indirdikleri resmi olmayan uygulama mağazalarına yönlendirir.

Örneğin:

  • Sahte bir bankacılık uygulaması, kullanıcıların tam adlarını, cep telefonu numaralarını, kredi kartı bilgilerini ve devlet tarafından verilen kimlik bilgilerini çalmak için Hindistan'daki bir finans kuruluşunu taklit ediyor.
  • "X"i (eski adıyla Twitter) taklit eden sahte bir sosyal medya uygulaması, Çince konuşan kullanıcıları hedef alarak kişilerin iletişim bilgilerini, SMS mesajlarını ve fotoğraflarını topluyor.

Kullanılan Gelişmiş Kaçınma Teknikleri

Tespit edilmekten kaçınmak için kötü amaçlı yazılım birden fazla karmaşık teknik kullanır:

  • Şifrelenmiş Veri İletimi : Toplanan veriler şifrelenmiş soket iletişimi kullanılarak bir Komuta ve Kontrol (C2) sunucusuna gönderilir.
  • Sahte İzinler : Kötü amaçlı yazılım, analiz araçlarını şaşırtmak için AndroidManifest.xml dosyasına anlamsız izinler (örneğin, 'android.permission.LhSSzIw6q') enjekte eder.
  • Çok Aşamalı Dinamik Yükleme : Gerçek kötü amaçlı yazılımı içeren .NET MAUI derlemelerini yükleyen AES şifreli bir yükü başlatmak için XOR şifreli bir yükleyici kullanır.
  • Kullanıcı Etkileşimi Kötü Amaçlı Eylemleri Tetikler : Çekirdek yük, yalnızca kullanıcı uygulama ile etkileşime girdiğinde (örneğin, bir düğmeye bastığında) etkinleşerek C# kodunda gizli kalır. Bu noktada, sessizce verileri çalar ve C2 sunucusuna iletir.

Güvende Kalmak İçin Ne Yapılmalı

Bu tür saldırıların giderek daha karmaşık hale gelmesi göz önüne alındığında, kullanıcıların kendilerini korumak için proaktif adımlar atmaları gerekir:

  • Üçüncü Taraf Uygulama Mağazalarından Kaçının – Uygulamaları yalnızca Google Play'den veya güvenilir kaynaklardan indirin.
  • Uygulama İzinlerini Doğrulayın – Gereksiz izinler isteyen uygulamalara karşı dikkatli olun.
  • Sahte Bağlantılara Karşı Dikkatli Olun – Mesajlardaki şüpheli bağlantılara tıklamayın.
  • Kötü Amaçlı Yazılımlara Karşı Yazılım Kullanın – Potansiyel tehditleri tespit edip ortadan kaldırmak için güvenilir bir mobil güvenlik çözümü yükleyin.

Siber suçlular taktiklerini sürekli geliştirdiğinden, bu yeni ortaya çıkan tehditlere karşı en iyi savunma bilgili ve dikkatli olmaktır.

trend

Mail Cloud Server E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
İnternet, şüphesiz kullanıcıları sömürmek için tasarlanmış aldatıcı planlarla doludur, bu da e-postaları tararken ve işlerken dikkatli olmayı gerekli kılar. Mail Cloud Server e-posta dolandırıcılığı gibi kimlik avı saldırıları, hassas bilgileri çalmak için sosyal mühendislik taktikleri kullanan en yaygın tehditler arasındadır. Bu dolandırıcılığın nasıl işlediğini anlayarak, kullanıcılar bu...

En çok görüntülenen

Yükleniyor...