.NET MAUI Fake Android Apps
網路安全專家發現了一項新的 Android 惡意軟體活動,該活動利用了微軟的 .NET 多平台應用程式 UI (.NET MAUI) 框架。這些威脅應用程式偽裝成銀行和社交媒體應用程序,主要針對印度和中文用戶,旨在獲取敏感資訊。
目錄
什麼是 .NET MAUI 以及為什麼要使用它?
.NET MAUI 是 Microsoft 使用 C# 和 XAML 開發本機應用程式的跨平台框架。它是由 Xamarin 發展而來的,為開發人員提供了一種使用單一專案創建多平台應用程式的簡化方法,同時允許在需要時使用特定於平台的程式碼。
值得注意的是,微軟於 2024 年 5 月 1 日正式終止對 Xamarin 的支持,鼓勵開發人員過渡到 .NET MAUI。威脅行為者迅速適應並利用該框架開發新的 Android 惡意軟體,繼續改進和發展攻擊方法的趨勢。
.NET MAUI 如何幫助惡意軟體逃避偵測
與依賴 DEX 檔案和本機程式庫的傳統 Android 應用程式不同,基於 .NET MAUI 的惡意軟體將其核心功能儲存在 C# blob 二進位檔案中。這使得檢測變得更具挑戰性,因為該框架充當了打包程式的角色,幫助惡意軟體在受害者裝置上不被發現。
透過利用 .NET MAUI,網路犯罪分子可以獲得以下幾個優勢:
- 隱身模式:損壞的程式碼隱藏在 C# 二進位檔案中,因此更難分析。
- 延長持久性:惡意軟體會在受感染的裝置上停留更長時間而不會觸發安全警報。
- 逃避策略:非常規架構可以繞過傳統的安全掃描。
發現假冒銀行和社交媒體應用程序
研究人員發現了多個使用 .NET MAUI 的詐騙應用程序,統稱為 FakeApp。一些值得注意的虛假申請包括:
偽造的銀行應用程式:
印度信用卡(indus.credit.card)
工業卡 (com.rewardz.card)
虛假社交媒體和實用程式應用程式:
丘比特(pommNC.csTgAT)
X•GDN(pgkhe9.ckJo4P)
迷城 (Míchéng) (pCDhCg.cEOngl)
私密相簿 (私人相簿) (pBOnCi.cUVNXz)
小宇宙 (p9Z2Ej.cplkQv)
這些應用程式誘騙用戶安裝,然後悄悄提取並傳輸他們的個人資料到攻擊者控制的伺服器。
用戶如何被欺騙
與透過 Google Play 分發的合法應用程式不同,這些虛假應用程式依靠欺騙手段進行分發。攻擊者透過訊息應用程式發送詐騙鏈接,將用戶引導到非官方應用程式商店,在不知不覺中下載惡意軟體。
例如:
- 一個假冒的銀行應用程式冒充印度金融機構,竊取用戶的全名、手機號碼、信用卡詳細資料和政府頒發的身份證。
- 模仿「X」(以前稱為 Twitter)的詐騙社群媒體應用程式會收集聯絡人、簡訊和照片,目標是中文用戶。
使用的進階逃避技術
為了避免被發現,該惡意軟體採用了多種複雜的技術:
- 加密資料傳輸:使用加密套接字通訊將收集的資料傳送到命令和控制 (C2) 伺服器。
- 虛假權限:惡意軟體將無意義的權限(例如「android.permission.LhSSzIw6q」)注入AndroidManifest.xml檔案以混淆分析工具。
- 多階段動態載入:它利用 XOR 加密的載入器啟動 AES 加密的有效負載,然後載入包含實際惡意軟體的 .NET MAUI 組件。
- 使用者互動觸發惡意操作:核心負載隱藏在 C# 程式碼中,僅當使用者與應用程式互動時才會啟動(例如,按下按鈕)。此時,它會悄悄竊取資料並將其傳輸到 C2 伺服器。
如何確保安全
鑑於這些攻擊日益複雜,使用者應採取主動措施保護自己:
- 避免使用第三方應用程式商店—僅從 Google Play 或可信任來源下載應用程式。
- 驗證應用程式權限-謹慎使用要求不必要權限的應用程式。
- 對網路釣魚連結保持警惕——不要點擊訊息中的可疑連結。
- 使用反惡意軟體-安裝可靠的行動安全解決方案來偵測和消除潛在威脅。
隨著網路犯罪分子不斷改進其攻擊手段,保持知情和謹慎是抵禦這些新興威脅的最佳防御手段。
