.NET MAUI Fake Android Apps
网络安全专家发现了一种利用微软 .NET 多平台应用 UI (.NET MAUI) 框架的新型 Android 恶意软件活动。这些威胁性应用程序伪装成银行和社交媒体应用程序,主要针对印度和华语用户,目的是窃取敏感信息。
目录
什么是 .NET MAUI 以及为什么要使用它?
.NET MAUI 是 Microsoft 使用 C# 和 XAML 开发本机应用程序的跨平台框架。它由 Xamarin 演变而来,为开发人员提供了一种使用单个项目创建多平台应用程序的简化方法,同时允许在需要时使用特定于平台的代码。
值得注意的是,微软于 2024 年 5 月 1 日正式终止对 Xamarin 的支持,鼓励开发人员过渡到 .NET MAUI。威胁行为者迅速适应,利用该框架开发新的 Android 恶意软件,继续改进和发展攻击方法的趋势。
.NET MAUI 如何帮助恶意软件逃避检测
与依赖 DEX 文件和本机库的传统 Android 应用程序不同,基于 .NET MAUI 的恶意软件将其核心功能存储在 C# blob 二进制文件中。这使得检测更具挑战性,因为该框架充当了打包程序,可帮助恶意软件在受害者设备上持续存在而不被发现。
通过利用 .NET MAUI,网络犯罪分子可以获得以下几个优势:
- 隐身模式:损坏的代码隐藏在 C# 二进制文件中,因此更难分析。
- 延长持久性:恶意软件会在受感染的设备上停留更长时间而不会触发安全警报。
- 逃避策略:非常规架构可以绕过传统的安全扫描。
发现假冒银行和社交媒体应用程序
研究人员已发现多个使用 .NET MAUI 的欺诈性应用程序,统称为 FakeApp。一些值得注意的虚假应用程序包括:
伪造的银行应用程序:
印度信用卡(indus.credit.card)
工业卡 (com.rewardz.card)
虚假社交媒体和实用程序应用程序:
丘比特(pommNC.csTgAT)
X•GDN(pgkhe9.ckJo4P)
迷城 (Míchéng) (pCDhCg.ceOngl)
公开相册(私人相册)(pBOnCi.cUVNXz)
小宇宙 (p9Z2Ej.cplkQv)
这些应用程序诱骗用户安装,然后悄悄提取并传输他们的个人数据到攻击者控制的服务器。
用户如何被欺骗
与通过 Google Play 分发的合法应用程序不同,这些虚假应用程序依靠欺骗手段进行分发。攻击者通过消息应用程序发送欺诈链接,将用户引导至非官方应用商店,并在用户不知情的情况下下载恶意软件。
例如:
- 一个假冒的银行应用程序冒充印度金融机构,窃取用户的全名、手机号码、信用卡详细信息和政府颁发的身份证。
- 一款模仿“X”(以前称为 Twitter)的欺诈性社交媒体应用程序会收集联系人、短信和照片,目标是中文用户。
使用的高级逃避技术
为了避免被发现,该恶意软件采用了多种复杂的技术:
- 加密数据传输:使用加密套接字通信将收集的数据发送到命令和控制 (C2) 服务器。
- 虚假权限:恶意软件将无意义的权限(例如“android.permission.LhSSzIw6q”)注入AndroidManifest.xml文件以混淆分析工具。
- 多阶段动态加载:它利用 XOR 加密的加载器启动 AES 加密的有效负载,然后加载包含实际恶意软件的 .NET MAUI 程序集。
- 用户交互触发恶意操作:核心有效载荷隐藏在 C# 代码中,只有当用户与应用程序交互时才会激活(例如,按下按钮)。此时,它会悄无声息地窃取数据并将其传输到 C2 服务器。
如何保证安全
鉴于这些攻击日益复杂,用户应采取主动措施保护自己:
- 避免使用第三方应用商店——仅从 Google Play 或可信来源下载应用程序。
- 验证应用程序权限——谨慎使用请求不必要权限的应用程序。
- 对网络钓鱼链接保持警惕——不要点击消息中的可疑链接。
- 使用反恶意软件——安装可靠的移动安全解决方案来检测和消除潜在威胁。
随着网络犯罪分子不断改进其攻击手段,保持知情和谨慎是抵御这些新兴威胁的最佳防御手段。
