Cómo funcionan las aplicaciones falsas de Android .NET MAUI

Expertos en ciberseguridad han identificado otra ola de malware para Android que utiliza el framework .NET Multi-platform App UI (.NET MAUI) de Microsoft para crear aplicaciones fraudulentas de banca y redes sociales. Estas aplicaciones maliciosas se dirigen principalmente a usuarios que hablan chino e indio, con el objetivo de robar información personal confidencial.

¿Qué es .NET MAUI y por qué está siendo explotado?

.NET MAUI es un framework de desarrollo de aplicaciones multiplataforma creado por Microsoft. Permite a los desarrolladores crear aplicaciones nativas para múltiples sistemas operativos, como Android, iOS, macOS y Windows, utilizando una única base de código escrita en C# y XAML. Es una evolución del framework Xamarin, cuyo soporte técnico finalizó oficialmente el 1 de mayo de 2024. Con esta transición, Microsoft ha animado a los desarrolladores a migrar a .NET MAUI para disfrutar de soporte y actualizaciones continuas.

Si bien las campañas de malware anteriores han aprovechado Xamarin, los ciberdelincuentes ahora se han pasado a .NET MAUI. La razón de esta transición radica en la capacidad única del framework para encapsular las funcionalidades principales en código C# almacenado como blobs binarios. A diferencia de las aplicaciones Android convencionales, que dependen de archivos DEX o bibliotecas nativas para su ejecución, las aplicaciones basadas en .NET MAUI carecen de estos indicadores típicos, lo que dificulta su detección y análisis. Esto ofrece a los actores de amenazas una ventaja para distribuir y mantener sus aplicaciones maliciosas durante largos periodos sin levantar sospechas.

Cómo funcionan estas aplicaciones falsas

Estas aplicaciones fraudulentas, denominadas "FakeApp", se disfrazan de aplicaciones financieras o de redes sociales legítimas. Analistas de ciberseguridad han identificado múltiples aplicaciones falsas que se hacen pasar por servicios financieros y plataformas de redes sociales como X (anteriormente Twitter). Estas aplicaciones no están disponibles en Google Play, sino que se distribuyen mediante enlaces engañosos enviados a través de aplicaciones de mensajería. Se engaña a los usuarios para que las descarguen de tiendas de aplicaciones no oficiales, lo que aumenta el riesgo de exposición al malware.

Una vez instaladas, estas aplicaciones solicitan permisos excesivos y recopilan datos personales de forma sigilosa. En un caso, una aplicación que se hacía pasar por un servicio financiero indio extrajo información crucial, como nombres completos, números de teléfono, direcciones de correo electrónico, domicilios, fechas de nacimiento, datos de tarjetas de crédito y números de identificación oficial de los usuarios. Otra aplicación fraudulenta se hacía pasar por X, atacando a usuarios de habla china y robando contactos, mensajes SMS y fotos de sus dispositivos.

Técnicas utilizadas para evadir la detección

Los desarrolladores de estas aplicaciones maliciosas emplean diversas técnicas sofisticadas para evitar su detección y análisis. Uno de los métodos clave es usar .NET MAUI como empaquetador, ocultando eficazmente el código malicioso dentro de la aplicación. A diferencia del malware tradicional para Android, estas aplicaciones se basan en un mecanismo de carga cifrado para ejecutar sus cargas útiles dinámicamente.

Además, el malware incorpora técnicas de carga dinámica multietapa, donde se utiliza un cargador cifrado con XOR para descifrar una carga útil cifrada con AES. Esta etapa final carga los ensamblados .NET MAUI necesarios para ejecutar las funciones del malware. Al estructurar su ataque de esta manera, los ciberdelincuentes dificultan considerablemente el análisis y la neutralización de sus amenazas por parte de los investigadores de seguridad.

Otra táctica engañosa consiste en añadir permisos sin sentido al archivo AndroidManifest.xml, como "android.permission.LhSSzIw6q". Estos permisos engañosos se insertan para confundir a las herramientas de análisis de seguridad automatizadas, lo que les dificulta marcar la aplicación como sospechosa.

Las implicaciones de este malware

La aparición de malware que aprovecha .NET MAUI representa una amenaza en constante evolución en el panorama de la ciberseguridad. A medida que los desarrolladores abandonan Xamarin y adoptan .NET MAUI, los ciberdelincuentes siguen el ejemplo, perfeccionando sus técnicas para explotar las capacidades del framework. Este cambio subraya la necesidad de una mayor vigilancia tanto entre usuarios como entre desarrolladores.

El riesgo de instalar estas aplicaciones falsas es considerable para los usuarios. Los datos robados pueden ser utilizados para el robo de identidad, fraude financiero o venta en la dark web. Además, el acceso a archivos y mensajes personales puede provocar graves violaciones de la privacidad.

Para los profesionales de seguridad y los desarrolladores, el auge del malware basado en .NET MAUI exige mecanismos de detección mejorados. Las herramientas de seguridad existentes deben adaptarse para reconocer las amenazas ocultas en blobs binarios de C# y cargas útiles cargadas dinámicamente. Los desarrolladores también deben asegurarse de seguir las mejores prácticas de seguridad al crear aplicaciones .NET MAUI para evitar posibles vulnerabilidades que los atacantes podrían explotar.

Cómo mantenerse a salvo

Para protegerse contra las amenazas que plantean FakeApp y campañas de malware similares, los usuarios deben tomar las siguientes precauciones:

  1. Descarga aplicaciones solo de tiendas oficiales : usa Google Play Store u otras fuentes confiables para descargar aplicaciones. Evita instalar aplicaciones de sitios web de terceros o enlaces recibidos por mensaje.
  2. Verifique los permisos de las aplicaciones : tenga cuidado con las aplicaciones que solicitan permisos innecesarios, por ejemplo, acceso a contactos, SMS o fotos almacenadas.
  3. Verifique la autenticidad de la aplicación : antes de instalar cualquier aplicación, investigue su legitimidad verificando los detalles del desarrollador, las reseñas y las calificaciones.
  4. Utilice software de seguridad : instale aplicaciones de seguridad móvil confiables que puedan detectar y bloquear amenazas potenciales.
  5. Mantenga el software actualizado : actualice periódicamente tanto el sistema operativo como las aplicaciones instaladas para corregir las vulnerabilidades que los atacantes podrían explotar.

Reflexiones finales

El uso de .NET MAUI para crear aplicaciones falsas de Android marca una evolución significativa en el desarrollo de malware. Los ciberdelincuentes se adaptan cada vez más a los avances tecnológicos, aprovechando plataformas modernas para evadir la detección y comprometer la seguridad del usuario. Al mantenerse informados y adoptar hábitos digitales seguros, los usuarios pueden reducir el riesgo de encontrarse con estas amenazas engañosas. A medida que los desafíos de la ciberseguridad siguen evolucionando, la vigilancia sigue siendo clave para proteger la información personal y financiera en un mundo cada vez más interconectado.

En Willa
March 26, 2025
Android Malware
Spanish
March 26, 2025
Android Malware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.