So funktionieren die gefälschten .NET MAUI-Android-Apps

Cybersicherheitsexperten haben eine weitere Welle von Android-Malware identifiziert, die Microsofts .NET Multi-Platform App UI (.NET MAUI) Framework nutzt, um betrügerische Banking- und Social-Media-Anwendungen zu erstellen. Diese bösartigen Anwendungen zielen vor allem auf Nutzer ab, die Chinesisch und Indisch sprechen, und zielen darauf ab, vertrauliche persönliche Daten zu stehlen.

Was ist .NET MAUI und warum wird es ausgenutzt?

.NET MAUI ist ein plattformübergreifendes Anwendungsentwicklungsframework von Microsoft. Es ermöglicht Entwicklern, native Anwendungen für verschiedene Betriebssysteme wie Android, iOS, macOS und Windows mit einer einzigen Codebasis in C# und XAML zu erstellen. Es ist eine Weiterentwicklung des Xamarin-Frameworks, dessen Support am 1. Mai 2024 offiziell eingestellt wurde. Im Zuge dieser Umstellung ermutigt Microsoft Entwickler, auf .NET MAUI zu migrieren, um weiterhin Support und Updates zu erhalten.

Während frühere Malware-Kampagnen Xamarin nutzten, sind Cyberkriminelle nun auf .NET MAUI umgestiegen. Der Grund für diesen Übergang liegt in der einzigartigen Fähigkeit des Frameworks, Kernfunktionen in C#-Code zu kapseln, der als Binärblobs gespeichert ist. Im Gegensatz zu herkömmlichen Android-Anwendungen, die zur Ausführung auf DEX-Dateien oder native Bibliotheken angewiesen sind, fehlen .NET MAUI-basierten Apps diese typischen Indikatoren, was ihre Erkennung und Analyse erschwert. Dies verschafft Angreifern einen Vorteil bei der Verbreitung und Bereitstellung ihrer Schadanwendungen über längere Zeiträume, ohne Verdacht zu erregen.

So funktionieren diese gefälschten Apps

Diese betrügerischen Anwendungen, die als „FakeApps“ bezeichnet werden, tarnen sich als legitime Finanz- oder Social-Media-Apps. Cybersicherheitsanalysten haben mehrere gefälschte Apps identifiziert, die sich als Finanzdienstleister und Social-Media-Plattformen wie X (ehemals Twitter) tarnen. Diese Anwendungen sind nicht im Google Play Store verfügbar, sondern werden über irreführende Links über Messaging-Apps verbreitet. Nutzer werden dazu verleitet, die Apps aus inoffiziellen App-Stores herunterzuladen, was das Risiko erhöht, sich Malware anzustecken.

Nach der Installation verlangen diese Apps übermäßige Berechtigungen und sammeln heimlich persönliche Daten. In einem Fall extrahierte eine App, die sich als indischer Finanzdienst ausgab, wichtige Informationen wie den vollständigen Namen, Telefonnummern, E-Mail-Adressen, Wohnadressen, Geburtsdaten, Kreditkartendaten und amtliche Identifikationsnummern der Nutzer. Eine andere betrügerische App gab sich als X aus, zielte auf chinesischsprachige Nutzer ab und stahl Kontakte, SMS-Nachrichten und Fotos von deren Geräten.

Techniken zur Vermeidung der Entdeckung

Die Entwickler dieser bösartigen Anwendungen setzen verschiedene ausgeklügelte Techniken ein, um deren Erkennung und Analyse zu verhindern. Eine der wichtigsten Methoden ist die Verwendung von .NET MAUI als Packer, wodurch der Schadcode effektiv in der Anwendung versteckt wird. Im Gegensatz zu herkömmlicher Android-Malware nutzen diese Apps einen verschlüsselten Lademechanismus, um ihre Payloads dynamisch auszuführen.

Darüber hinaus nutzt die Malware mehrstufige dynamische Ladetechniken, bei denen ein XOR-verschlüsselter Loader zum Entschlüsseln einer AES-verschlüsselten Nutzlast verwendet wird. In dieser letzten Phase werden die notwendigen .NET MAUI-Assemblys geladen, die die eigentlichen Malware-Funktionen ausführen. Durch diese Angriffsstruktur erschweren Cyberkriminelle Sicherheitsforschern die Analyse und Neutralisierung ihrer Bedrohungen erheblich.

Eine weitere irreführende Taktik besteht darin, der Datei AndroidManifest.xml bedeutungslose Berechtigungen hinzuzufügen, wie zum Beispiel „android.permission.LhSSzIw6q“. Diese irreführenden Berechtigungen sollen automatisierte Sicherheitsanalysetools verwirren und es ihnen erschweren, die App als verdächtig zu kennzeichnen.

Die Auswirkungen dieser Malware

Das Aufkommen von Malware, die .NET MAUI nutzt, stellt eine wachsende Bedrohung für die Cybersicherheit dar. Entwickler wechseln von Xamarin zu .NET MAUI, und Cyberkriminelle ziehen nach und verfeinern ihre Techniken, um die Möglichkeiten des Frameworks auszunutzen. Dieser Wandel unterstreicht die Notwendigkeit erhöhter Wachsamkeit bei Nutzern und Entwicklern.

Das Risiko, solche gefälschten Apps zu installieren, ist für Nutzer erheblich. Die gestohlenen Daten können dann für Identitätsdiebstahl, Finanzbetrug oder den Verkauf im Darknet missbraucht werden. Darüber hinaus kann der Zugriff auf persönliche Dateien und Nachrichten zu schwerwiegenden Datenschutzverletzungen führen.

Sicherheitsexperten und Entwickler benötigen aufgrund der zunehmenden Verbreitung von .NET MAUI-basierter Malware verbesserte Erkennungsmechanismen. Bestehende Sicherheitstools müssen angepasst werden, um Bedrohungen zu erkennen, die in C#-Binärblobs und dynamisch geladenen Payloads verborgen sind. Entwickler müssen außerdem sicherstellen, dass sie beim Erstellen von .NET MAUI-Anwendungen bewährte Sicherheitspraktiken befolgen, um potenzielle Schwachstellen zu vermeiden, die Angreifer ausnutzen könnten.

So bleiben Sie sicher

Zum Schutz vor Bedrohungen durch FakeApp und ähnliche Malware-Kampagnen sollten Benutzer die folgenden Vorsichtsmaßnahmen treffen:

  1. Laden Sie Apps ausschließlich aus offiziellen Stores herunter – Laden Sie Apps ausschließlich über den Google Play Store oder andere vertrauenswürdige Quellen herunter. Vermeiden Sie die Installation von Apps von Drittanbieter-Websites oder über Links, die Sie per E-Mail erhalten haben.
  2. Überprüfen Sie die App-Berechtigungen – Seien Sie vorsichtig bei Apps, die unnötige Berechtigungen anfordern, beispielsweise Zugriff auf Kontakte, SMS oder gespeicherte Fotos.
  3. Überprüfen Sie die Echtheit der App – Überprüfen Sie vor der Installation einer Anwendung deren Legitimität, indem Sie die Entwicklerdetails, Rezensionen und Bewertungen prüfen.
  4. Verwenden Sie Sicherheitssoftware – Installieren Sie seriöse mobile Sicherheitsanwendungen, die potenzielle Bedrohungen erkennen und blockieren können.
  5. Halten Sie die Software auf dem neuesten Stand – Aktualisieren Sie sowohl das Betriebssystem als auch die installierten Anwendungen regelmäßig, um Schwachstellen zu schließen, die Angreifer ausnutzen könnten.

Abschließende Gedanken

Die Verwendung von .NET MAUI zur Erstellung gefälschter Android-Apps markiert einen bedeutenden Fortschritt in der Malware-Entwicklung. Cyberkriminelle passen sich zunehmend dem technologischen Fortschritt an und nutzen moderne Frameworks, um der Erkennung zu entgehen und die Benutzersicherheit zu gefährden. Indem sie sich informieren und sichere digitale Gewohnheiten entwickeln, können Nutzer das Risiko, diesen betrügerischen Bedrohungen ausgesetzt zu sein, verringern. Angesichts der sich ständig weiterentwickelnden Herausforderungen im Bereich der Cybersicherheit bleibt Wachsamkeit der Schlüssel zum Schutz persönlicher und finanzieller Daten in einer zunehmend vernetzten Welt.

Bis Willa
March 26, 2025
Android Malware
Deutsch
March 26, 2025
Android Malware

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.