Comment fonctionnent les fausses applications Android .NET MAUI

Des experts en cybersécurité ont identifié une nouvelle vague de logiciels malveillants Android utilisant le framework .NET Multi-platform App UI (.NET MAUI) de Microsoft pour créer des applications bancaires et de réseaux sociaux frauduleuses. Ces applications malveillantes ciblent principalement les utilisateurs parlant chinois et indien, dans le but de voler des informations personnelles sensibles.

Qu'est-ce que .NET MAUI et pourquoi est-il exploité ?

.NET MAUI est un framework de développement d'applications multiplateforme créé par Microsoft. Il permet aux développeurs de créer des applications natives pour plusieurs systèmes d'exploitation, dont Android, iOS, macOS et Windows, à partir d'une base de code unique écrite en C# et XAML. Il s'agit d'une évolution du framework Xamarin, dont le support a officiellement pris fin le 1er mai 2024. Suite à cette transition, Microsoft encourage les développeurs à migrer vers .NET MAUI pour bénéficier d'un support et de mises à jour continus.

Alors que les précédentes campagnes de malwares s'appuyaient sur Xamarin, les cybercriminels se sont désormais tournés vers .NET MAUI. Cette transition s'explique par la capacité unique du framework à encapsuler les fonctionnalités essentielles dans du code C# stocké sous forme de blobs binaires. Contrairement aux applications Android classiques, qui s'exécutent à l'aide de fichiers DEX ou de bibliothèques natives, les applications basées sur .NET MAUI ne disposent pas de ces indicateurs classiques, ce qui les rend plus difficiles à détecter et à analyser. Cela donne aux acteurs malveillants un avantage pour diffuser et maintenir leurs applications malveillantes pendant de longues périodes sans éveiller les soupçons.

Comment fonctionnent ces fausses applications

Surnommées « FakeApp », ces applications frauduleuses se font passer pour des applications financières ou de réseaux sociaux légitimes. Les analystes en cybersécurité ont identifié plusieurs fausses applications se faisant passer pour des services financiers et des plateformes de réseaux sociaux comme X (anciennement Twitter). Ces applications ne sont pas disponibles sur Google Play, mais sont distribuées via des liens trompeurs envoyés via des applications de messagerie. Les utilisateurs sont incités à les télécharger depuis des boutiques d'applications non officielles, ce qui augmente le risque d'exposition aux logiciels malveillants.

Une fois installées, ces applications demandent des autorisations excessives et collectent furtivement des données personnelles. Dans un cas, une application se faisant passer pour un service financier indien a extrait des informations critiques, notamment les noms complets, les numéros de téléphone, les adresses e-mail, les adresses personnelles, les dates de naissance, les informations de carte de crédit et les numéros d'identification officiels des utilisateurs. Une autre application frauduleuse s'est fait passer pour X, ciblant les utilisateurs sinophones et volant leurs contacts, SMS et photos sur leurs appareils.

Techniques utilisées pour échapper à la détection

Les développeurs de ces applications malveillantes emploient diverses techniques sophistiquées pour échapper à la détection et à l'analyse. L'une des méthodes clés consiste à utiliser .NET MAUI comme outil de compression, masquant ainsi efficacement le code malveillant au sein de l'application. Contrairement aux logiciels malveillants Android traditionnels, ces applications s'appuient sur un mécanisme de chargement chiffré pour exécuter leurs charges utiles de manière dynamique.

De plus, le logiciel malveillant intègre des techniques de chargement dynamique en plusieurs étapes, où un chargeur chiffré XOR est utilisé pour déchiffrer une charge utile chiffrée AES. Cette dernière étape charge les assemblages .NET MAUI nécessaires à l'exécution des fonctions du logiciel malveillant. En structurant ainsi leur attaque, les cybercriminels compliquent considérablement l'analyse et la neutralisation des menaces par les chercheurs en sécurité.

Une autre tactique trompeuse consiste à ajouter des autorisations inutiles au fichier AndroidManifest.xml, telles que « android.permission.LhSSzIw6q ». Ces autorisations trompeuses sont insérées pour tromper les outils d'analyse de sécurité automatisés, les empêchant ainsi de signaler l'application comme suspecte.

Les implications de ce malware

L'émergence de logiciels malveillants exploitant .NET MAUI représente une menace croissante dans le paysage de la cybersécurité. À mesure que les développeurs abandonnent Xamarin pour adopter .NET MAUI, les cybercriminels suivent le mouvement et affinent leurs techniques pour exploiter les capacités du framework. Cette évolution souligne la nécessité d'une vigilance accrue, tant pour les utilisateurs que pour les développeurs.

Le risque d'installer de telles fausses applications est important pour les utilisateurs. Les données volées peuvent ensuite être exploitées à des fins d'usurpation d'identité, de fraude financière ou de vente sur le dark web. De plus, l'accès aux fichiers et messages personnels peut entraîner de graves atteintes à la vie privée.

Pour les professionnels de la sécurité et les développeurs, l'essor des logiciels malveillants basés sur .NET MAUI exige des mécanismes de détection améliorés. Les outils de sécurité existants doivent s'adapter pour reconnaître les menaces dissimulées dans les blobs binaires C# et les charges utiles chargées dynamiquement. Les développeurs doivent également veiller à respecter les meilleures pratiques de sécurité lors de la création d'applications .NET MAUI afin de prévenir les vulnérabilités potentielles que les attaquants pourraient exploiter.

Comment rester en sécurité

Pour se protéger contre les menaces posées par FakeApp et les campagnes de logiciels malveillants similaires, les utilisateurs doivent prendre les précautions suivantes :

  1. Téléchargez des applications uniquement depuis les boutiques officielles : utilisez le Google Play Store ou d'autres sources fiables pour télécharger des applications. Évitez d'installer des applications provenant de sites web tiers ou de liens reçus par message.
  2. Vérifiez les autorisations des applications - Méfiez-vous des applications demandant des autorisations inutiles, par exemple, l'accès aux contacts, aux SMS ou aux photos stockées.
  3. Vérifiez l'authenticité de l'application - Avant d'installer une application, recherchez sa légitimité en vérifiant les détails du développeur, les avis et les notes.
  4. Utilisez un logiciel de sécurité - Installez des applications de sécurité mobile réputées capables de détecter et de bloquer les menaces potentielles.
  5. Maintenez les logiciels à jour - Mettez régulièrement à jour le système d'exploitation et les applications installées pour corriger les vulnérabilités que les attaquants pourraient exploiter.

Réflexions finales

L'utilisation de .NET MAUI pour la création de fausses applications Android marque une évolution significative dans le développement de logiciels malveillants. Les cybercriminels s'adaptent de plus en plus aux avancées technologiques, exploitant des frameworks modernes pour échapper à la détection et compromettre la sécurité des utilisateurs. En restant informés et en adoptant des habitudes numériques sûres, les utilisateurs peuvent réduire les risques de rencontrer ces menaces trompeuses. Face à l'évolution constante des défis en matière de cybersécurité, la vigilance reste essentielle pour protéger les informations personnelles et financières dans un monde de plus en plus interconnecté.

Par Willa
March 26, 2025
Android Malware
Français
March 26, 2025
Android Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.