Підроблені програми для Android .NET MAUI
Експерти з кібербезпеки виявили нову кампанію зловмисного програмного забезпечення для Android, яка використовує фреймворк Microsoft .NET Multi-platform App UI (.NET MAUI). Замасковані під банківські програми та програми соціальних мереж, ці загрозливі програми в основному націлені на індійських і китайськомовних користувачів і спрямовані на отримання конфіденційної інформації.
Зміст
Що таке .NET MAUI і для чого він використовується?
.NET MAUI — це кросплатформна структура Microsoft для розробки власних програм із використанням C# і XAML. Він розвинувся на основі Xamarin, пропонуючи розробникам спрощений спосіб створення мультиплатформенних додатків за допомогою одного проекту, дозволяючи при необхідності кодувати платформу.
Зокрема, Microsoft офіційно припинила підтримку Xamarin 1 травня 2024 року, заохочуючи розробників переходити на .NET MAUI. Зловмисники швидко адаптувалися, використовуючи цю структуру для розробки нових зловмисних програм для Android, продовжуючи свою тенденцію до вдосконалення та розвитку методів атак.
Як .NET MAUI допомагає уникнути виявлення шкідливих програм
На відміну від традиційних програм для Android, які покладаються на файли DEX і рідні бібліотеки, зловмисне програмне забезпечення на основі .NET MAUI зберігає свої основні функції у двійкових файлах C#. Це ускладнює виявлення, оскільки фреймворк діє як пакувальник, який допомагає зловмисному ПЗ залишатися непоміченим на пристроях-жертвах.
Використовуючи .NET MAUI, кіберзлочинці отримують кілька переваг:
- Схований режим : пошкоджений код прихований у двійкових файлах C#, що ускладнює його аналіз.
- Розширена стійкість : зловмисне програмне забезпечення залишається на заражених пристроях довше, не запускаючи сповіщення безпеки.
- Тактика ухилення : нетрадиційна архітектура дозволяє обійти традиційне сканування безпеки.
Виявлено підроблені банківські програми та програми для соціальних мереж
Дослідники виявили кілька шахрайських програм, які використовують .NET MAUI, які разом називаються FakeApp. Деякі з відомих підроблених програм включають:
Фальшиві банківські програми:
Кредитна картка Indus (indus.credit.card)
Картка Indusind (com.rewardz.card)
Підроблені соціальні медіа та службові програми:
Купідон (pommNC.csTgAT)
X•GDN (pgkhe9.ckJo4P)
迷城 (Míchéng) (pCDhCg.cEOngl)
私密相册 (приватний альбом) (pBOnCi.cUVNXz)
小宇宙 (Маленький Всесвіт) (p9Z2Ej.cplkQv)
Ці програми обманом змушують користувачів встановити їх, а потім мовчки витягують і передають їхні особисті дані на контрольований зловмисником сервер.
Як користувачів обманюють
На відміну від законних програм, що розповсюджуються через Google Play, ці фальшиві програми покладаються на оманливі методи розповсюдження. Зловмисники надсилають шахрайські посилання через програми обміну повідомленнями, спрямовуючи користувачів до неофіційних магазинів додатків, де вони несвідомо завантажують шкідливе програмне забезпечення.
наприклад:
- Фальшива банківська програма видає себе за індійську фінансову установу, щоб викрасти повні імена користувачів, номери мобільних телефонів, дані кредитної картки та державні посвідчення особи.
- Шахрайська програма соціальних мереж, що імітує «X» (раніше Twitter), збирає контакти, SMS-повідомлення та фотографії, націлюючись на китайськомовних користувачів.
Використані вдосконалені методи ухилення
Щоб уникнути виявлення, зловмисне програмне забезпечення використовує кілька складних методів:
- Передача зашифрованих даних : зібрані дані надсилаються на сервер командування та керування (C2) за допомогою зашифрованого зв’язку через сокет.
- Підроблені дозволи : зловмисне програмне забезпечення вставляє безглузді дозволи (наприклад, "android.permission.LhSSzIw6q") у файл AndroidManifest.xml, щоб заплутати інструменти аналізу.
- Багатоетапне динамічне завантаження : він використовує завантажувач із шифруванням XOR для запуску корисного навантаження з шифруванням AES, яке потім завантажує збірки .NET MAUI, що містять фактичне шкідливе програмне забезпечення.
- Взаємодія користувача викликає зловмисні дії : Основне корисне навантаження залишається прихованим у коді C#, активується лише тоді, коли користувач взаємодіє з програмою (наприклад, натискає кнопку). У цей момент він мовчки викрадає дані та передає їх на сервер C2.
Як залишатися в безпеці
Враховуючи зростаючу складність цих атак, користувачі повинні вживати профілактичних заходів, щоб захистити себе:
- Уникайте сторонніх магазинів додатків – завантажуйте програми лише з Google Play або надійних джерел.
- Перевірте дозволи програми – будьте обережні, щоб програми не вимагали непотрібних дозволів.
- Стежте за фішинговими посиланнями – не натискайте підозрілі посилання в повідомленнях.
- Використовуйте програмне забезпечення для захисту від зловмисного програмного забезпечення – установіть надійне мобільне рішення безпеки для виявлення та видалення потенційних загроз.
Зважаючи на те, що кіберзлочинці постійно вдосконалюють свою тактику, бути поінформованим і бути обережним є найкращим захистом від цих нових загроз.
