.NET MAUI Ứng dụng Android giả mạo

Các chuyên gia an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại Android mới khai thác nền tảng .NET Multi-platform App UI (.NET MAUI) của Microsoft. Ngụy trang thành các ứng dụng ngân hàng và phương tiện truyền thông xã hội, các ứng dụng đe dọa này chủ yếu nhắm vào người dùng nói tiếng Ấn Độ và Trung Quốc và nhằm mục đích thu thập thông tin nhạy cảm.

.NET MAUI là gì và tại sao nó được sử dụng?

.NET MAUI là khuôn khổ đa nền tảng của Microsoft để phát triển các ứng dụng gốc bằng C# và XAML. Nó phát triển từ Xamarin, cung cấp cho các nhà phát triển một cách hợp lý để tạo các ứng dụng đa nền tảng với một dự án duy nhất trong khi vẫn cho phép mã dành riêng cho nền tảng khi cần.

Đáng chú ý, Microsoft đã chính thức chấm dứt hỗ trợ Xamarin vào ngày 1 tháng 5 năm 2024, khuyến khích các nhà phát triển chuyển sang .NET MAUI. Các tác nhân đe dọa đã nhanh chóng thích nghi, tận dụng khuôn khổ này để phát triển phần mềm độc hại Android mới, tiếp tục xu hướng tinh chỉnh và phát triển các phương pháp tấn công.

Cách .NET MAUI giúp phần mềm độc hại tránh bị phát hiện

Không giống như các ứng dụng Android truyền thống, dựa trên các tệp DEX và thư viện gốc, phần mềm độc hại dựa trên .NET MAUI lưu trữ các chức năng cốt lõi của nó trong các tệp nhị phân blob C#. Điều này làm cho việc phát hiện trở nên khó khăn hơn, vì khuôn khổ hoạt động như một trình đóng gói giúp phần mềm độc hại tồn tại mà không bị phát hiện trên các thiết bị của nạn nhân.

Bằng cách sử dụng .NET MAUI, tội phạm mạng có được một số lợi thế sau:

• Chế độ ẩn : Mã bị hỏng được ẩn trong các tệp nhị phân C#, khiến việc phân tích trở nên khó khăn hơn.
• Thời gian tồn tại kéo dài : Phần mềm độc hại tồn tại trên thiết bị bị nhiễm lâu hơn mà không kích hoạt cảnh báo bảo mật.
• Chiến thuật né tránh : Kiến trúc độc đáo cho phép bỏ qua các lần quét bảo mật truyền thống.

Đã xác định được các ứng dụng ngân hàng và mạng xã hội giả mạo

Các nhà nghiên cứu đã xác định được nhiều ứng dụng gian lận sử dụng .NET MAUI, được gọi chung là FakeApp. Một số ứng dụng giả mạo đáng chú ý bao gồm:

Ứng dụng ngân hàng giả mạo:

Thẻ tín dụng Indus (indus.credit.card)

Thẻ Indusind (com.rewardz.card)

Mạng xã hội giả mạo và ứng dụng tiện ích:

Thần tình yêu (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Album riêng) (pBOnCi.cUVNXz)

小宇宙 (Vũ trụ nhỏ) (p9Z2Ej.cplkQv)

Các ứng dụng này lừa người dùng cài đặt chúng, sau đó âm thầm trích xuất và truyền dữ liệu cá nhân của họ đến máy chủ do kẻ tấn công kiểm soát.

Người dùng đang bị lừa như thế nào

Không giống như các ứng dụng hợp pháp được phân phối qua Google Play, các ứng dụng giả mạo này dựa vào các chiến thuật lừa đảo để phân phối. Kẻ tấn công gửi các liên kết gian lận thông qua các ứng dụng nhắn tin, dẫn người dùng đến các cửa hàng ứng dụng không chính thức, nơi họ vô tình tải xuống phần mềm độc hại.

Ví dụ:

• Một ứng dụng ngân hàng giả mạo một tổ chức tài chính Ấn Độ để đánh cắp họ tên đầy đủ, số điện thoại di động, thông tin thẻ tín dụng và giấy tờ tùy thân do chính phủ cấp của người dùng.
• Một ứng dụng mạng xã hội lừa đảo bắt chước "X" (trước đây là Twitter) thu thập danh bạ, tin nhắn SMS và ảnh, nhắm vào người dùng nói tiếng Trung Quốc.

Các kỹ thuật né tránh nâng cao được sử dụng

Để tránh bị phát hiện, phần mềm độc hại sử dụng nhiều kỹ thuật tinh vi:

• Truyền dữ liệu được mã hóa : Dữ liệu thu thập được sẽ được gửi đến máy chủ Chỉ huy và Kiểm soát (C2) bằng cách sử dụng giao tiếp socket được mã hóa.
• Quyền giả : Phần mềm độc hại chèn các quyền vô nghĩa (ví dụ: 'android.permission.LhSSzIw6q') vào tệp AndroidManifest.xml để gây nhầm lẫn cho các công cụ phân tích.
• Tải động nhiều giai đoạn : Sử dụng trình tải được mã hóa XOR để khởi chạy một tải trọng được mã hóa AES, sau đó tải các tập hợp MAUI .NET có chứa phần mềm độc hại thực tế.
• Tương tác của người dùng kích hoạt hành động độc hại : Tải trọng cốt lõi vẫn ẩn trong mã C#, chỉ kích hoạt khi người dùng tương tác với ứng dụng (ví dụ: nhấn nút). Tại thời điểm đó, nó âm thầm đánh cắp dữ liệu và truyền đến máy chủ C2.

Làm thế nào để giữ an toàn

Do các cuộc tấn công này ngày càng tinh vi, người dùng nên chủ động thực hiện các bước để bảo vệ mình:

• Tránh các cửa hàng ứng dụng của bên thứ ba – Chỉ tải xuống ứng dụng từ Google Play hoặc các nguồn đáng tin cậy.
• Xác minh quyền của ứng dụng – Hãy thận trọng với các ứng dụng yêu cầu quyền không cần thiết.
• Cảnh giác với các liên kết lừa đảo – Không nhấp vào các liên kết đáng ngờ trong tin nhắn.
• Sử dụng phần mềm diệt phần mềm độc hại – Cài đặt giải pháp bảo mật di động đáng tin cậy để phát hiện và loại bỏ các mối đe dọa tiềm ẩn.

Trong bối cảnh tội phạm mạng liên tục thay đổi chiến thuật, việc luôn cập nhật thông tin và thận trọng là cách phòng thủ tốt nhất chống lại các mối đe dọa mới nổi này.