Sådan fungerer .NET MAUI falske Android-apps

Cybersikkerhedseksperter har identificeret endnu en bølge af Android-malware, der bruger Microsofts .NET Multi-platform App UI (.NET MAUI) -ramme til at skabe svigagtige bank- og sociale medieapplikationer. Disse ondsindede applikationer retter sig primært mod brugere, der taler kinesiske og indiske sprog, med det formål at stjæle følsomme personlige oplysninger.

Hvad er .NET MAUI, og hvorfor bliver det udnyttet?

.NET MAUI er en applikationsudviklingsramme på tværs af platforme skabt af Microsoft. Det giver udviklere mulighed for at bygge indbyggede applikationer til flere operativsystemer, herunder Android, iOS, macOS og Windows, ved hjælp af en enkelt kodebase skrevet i C# og XAML. Det er en videreudvikling af Xamarin-rammeværket, som officielt afsluttede sin support den 1. maj 2024. Med denne overgang har Microsoft opfordret udviklere til at migrere til .NET MAUI for fortsat support og opdateringer.

Mens tidligere malware-kampagner har udnyttet Xamarin, er cyberkriminelle nu skiftet til .NET MAUI. Årsagen bag denne overgang ligger i frameworkets unikke evne til at indkapsle kernefunktionaliteter i C#-kode, der er gemt som binære blobs. I modsætning til konventionelle Android-applikationer, som er afhængige af DEX-filer eller native biblioteker til udførelse, mangler .NET MAUI-baserede apps disse typiske indikatorer, hvilket gør dem sværere at opdage og analysere. Dette giver trusselsaktører en fordel i at distribuere og vedligeholde deres ondsindede applikationer i længere perioder uden at vække mistanke.

Hvordan disse falske apps fungerer

Disse svigagtige applikationer, der kaldes "FakeApp", forklæder sig selv som legitime apps til finansielle eller sociale medier. Cybersikkerhedsanalytikere har identificeret flere falske apps, der forklæder sig som finansielle tjenester og sociale medieplatforme såsom X (tidligere Twitter). Disse applikationer er ikke tilgængelige på Google Play, men distribueres i stedet via vildledende links, der sendes via beskedapps. Brugere bliver narret til at downloade dem fra uofficielle app-butikker, hvilket øger risikoen for eksponering for malware.

Når de er installeret, anmoder disse apps om overdrevne tilladelser og indsamler i det skjulte personlige data. I ét tilfælde udtrak en app, der udgav sig for at være en indisk finansiel tjeneste, kritisk information, herunder brugernes fulde navne, telefonnumre, e-mailadresser, hjemmeadresser, fødselsdatoer, kreditkortoplysninger og statsudstedte identifikationsnumre. En anden svigagtig app efterlignede X, rettet mod kinesisktalende brugere og stjal kontakter, SMS-beskeder og billeder fra deres enheder.

Teknikker, der bruges til at undgå detektion

Udviklerne bag disse ondsindede applikationer anvender forskellige sofistikerede teknikker for at undgå opdagelse og analyse. En af de vigtigste metoder er at bruge .NET MAUI som en pakker, der effektivt skjuler den ondsindede kode i applikationen. I modsætning til traditionel Android-malware er disse apps afhængige af en krypteret loader-mekanisme til at udføre deres nyttelast dynamisk.

Derudover inkorporerer malwaren dynamiske indlæsningsteknikker i flere trin, hvor en XOR-krypteret loader bruges til at dekryptere en AES-krypteret nyttelast. Denne sidste fase indlæser de nødvendige .NET MAUI-samlinger, der udfører de faktiske malware-funktioner. Ved at strukturere deres angreb på denne måde gør cyberkriminelle det væsentligt mere udfordrende for sikkerhedsforskere at analysere og neutralisere deres trusler.

En anden vildledende taktik involverer tilføjelse af meningsløse tilladelser til AndroidManifest.xml-filen, såsom "android.permission.LhSSzIw6q." Disse vildledende tilladelser er indsat for at forvirre automatiserede sikkerhedsanalyseværktøjer, hvilket gør det svært for dem at markere appen som mistænkelig.

Konsekvenserne af denne malware

Fremkomsten af malware, der udnytter .NET MAUI, repræsenterer en trussel i udvikling i cybersikkerhedslandskabet. Efterhånden som udviklere bevæger sig væk fra Xamarin og adopterer .NET MAUI, følger cyberkriminelle trop og forfiner deres teknikker til at udnytte rammernes muligheder. Dette skift understreger behovet for øget årvågenhed blandt brugere og udviklere.

Risikoen ved at installere sådanne falske apps er betydelig for brugerne. De stjålne data kan derefter udnyttes til identitetstyveri, økonomisk bedrageri eller salg på det mørke web. Desuden kan adgang til personlige filer og beskeder føre til alvorlige brud på privatlivets fred.

For sikkerhedsprofessionelle og udviklere kræver fremkomsten af .NET MAUI-baseret malware forbedrede detektionsmekanismer. Eksisterende sikkerhedsværktøjer skal tilpasse sig til at genkende trusler, der er skjult i C# binære blobs og dynamisk indlæste nyttelaster. Udviklere skal også sikre, at de følger bedste sikkerhedspraksis, når de bygger .NET MAUI-applikationer for at forhindre potentielle sårbarheder, som angribere kan udnytte.

Sådan forbliver du sikker

For at beskytte mod trusler fra FakeApp og lignende malware-kampagner bør brugere tage følgende forholdsregler:

  1. Download apps udelukkende fra officielle butikker - Hold dig til Google Play Butik eller andre pålidelige kilder for at downloade applikationer. Undgå at installere apps fra tredjepartswebsteder eller links modtaget via beskeder.
  2. Tjek apptilladelser - Vær på vagt over for apps, der anmoder om unødvendige tilladelser, for eksempel adgang til kontakter, SMS eller gemte billeder.
  3. Bekræft appens ægthed - Før du installerer en applikation, skal du undersøge dens legitimitet ved at tjekke udvikleroplysninger, anmeldelser og vurderinger.
  4. Brug sikkerhedssoftware - Installer velrenommerede mobile sikkerhedsapplikationer, der kan opdage og blokere potentielle trusler.
  5. Hold software opdateret - Opdater jævnligt både operativsystemet og installerede programmer for at rette på sårbarheder, som angribere kan udnytte.

Afsluttende tanker

Brugen af .NET MAUI til at lave falske Android-apps markerer en betydelig udvikling inden for malwareudvikling. Cyberkriminelle tilpasser sig i stigende grad til teknologiske fremskridt og udnytter moderne rammer for at undgå opdagelse og kompromittere brugersikkerheden. Ved at holde sig informeret og tilegne sig sikre digitale vaner kan brugerne reducere risikoen for at støde på disse vildledende trusler. Efterhånden som cybersikkerhedsudfordringerne fortsætter med at udvikle sig, er årvågenhed fortsat nøglen til at beskytte personlige og finansielle oplysninger i en stadig mere forbundet verden.

I Willa
March 26, 2025
Android Malware
Dansk
March 26, 2025
Android Malware

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.