Come funzionano le app Android false .NET MAUI

Gli esperti di sicurezza informatica hanno identificato un'altra ondata di malware Android che utilizza il framework .NET Multi-platform App UI (.NET MAUI) di Microsoft per creare applicazioni fraudolente di social media e banking. Queste applicazioni dannose prendono di mira principalmente gli utenti che parlano cinese e indiano, con l'obiettivo di rubare informazioni personali sensibili.

Cos'è .NET MAUI e perché viene sfruttato?

.NET MAUI è un framework di sviluppo di applicazioni multipiattaforma creato da Microsoft. Consente agli sviluppatori di creare applicazioni native per più sistemi operativi, tra cui Android, iOS, macOS e Windows, utilizzando un'unica base di codice scritta in C# e XAML. È un'evoluzione del framework Xamarin, che ha ufficialmente terminato il suo supporto il 1° maggio 2024. Con questa transizione, Microsoft ha incoraggiato gli sviluppatori a migrare a .NET MAUI per un supporto e degli aggiornamenti continui.

Mentre le precedenti campagne malware hanno sfruttato Xamarin, i criminali informatici sono ora passati a .NET MAUI. Il motivo di questa transizione risiede nella capacità unica del framework di incapsulare le funzionalità principali all'interno del codice C# archiviato come blob binari. A differenza delle applicazioni Android convenzionali, che si basano su file DEX o librerie native per l'esecuzione, le app basate su .NET MAUI non dispongono di questi indicatori tipici, il che le rende più difficili da rilevare e analizzare. Ciò offre agli autori delle minacce un vantaggio nella distribuzione e nella manutenzione delle loro applicazioni dannose per periodi prolungati senza destare sospetti.

Come funzionano queste app false

Denominate "FakeApp", queste applicazioni fraudolente si camuffano da legittime app finanziarie o di social media. Gli analisti della sicurezza informatica hanno identificato numerose app false che si spacciano per servizi finanziari e piattaforme di social media come X (ex Twitter). Queste applicazioni non sono disponibili su Google Play, ma vengono invece distribuite tramite link ingannevoli inviati tramite app di messaggistica. Gli utenti vengono ingannati e scaricati da app store non ufficiali, aumentando il rischio di esposizione al malware.

Una volta installate, queste app richiedono permessi eccessivi e raccolgono furtivamente dati personali. In un caso, un'app che si spacciava per un servizio finanziario indiano ha estratto informazioni critiche, tra cui nomi completi degli utenti, numeri di telefono, indirizzi e-mail, indirizzi di casa, date di nascita, dettagli della carta di credito e numeri di identificazione rilasciati dal governo. Un'altra app fraudolenta impersonava X, prendendo di mira utenti di lingua cinese e rubando contatti, messaggi SMS e foto dai loro dispositivi.

Tecniche utilizzate per eludere il rilevamento

Gli sviluppatori dietro queste applicazioni dannose impiegano varie tecniche sofisticate per evitare il rilevamento e l'analisi. Uno dei metodi chiave è usare .NET MAUI come packer, nascondendo efficacemente il codice dannoso all'interno dell'applicazione. A differenza del malware Android tradizionale, queste app si basano su un meccanismo di caricamento crittografato per eseguire i loro payload in modo dinamico.

Inoltre, il malware incorpora tecniche di caricamento dinamico multi-stadio, in cui un loader crittografato con XOR viene utilizzato per decifrare un payload crittografato con AES. Questa fase finale carica gli assembly MAUI .NET necessari che eseguono le funzioni effettive del malware. Strutturando il loro attacco in questo modo, i criminali informatici rendono significativamente più difficile per i ricercatori della sicurezza analizzare e neutralizzare le loro minacce.

Un'altra tattica ingannevole consiste nell'aggiungere autorizzazioni insignificanti al file AndroidManifest.xml, come "android.permission.LhSSzIw6q". Queste autorizzazioni fuorvianti vengono inserite per confondere gli strumenti di analisi automatica della sicurezza, rendendo loro difficile segnalare l'app come sospetta.

Le implicazioni di questo malware

L'emergere di malware che sfrutta .NET MAUI rappresenta una minaccia in evoluzione nel panorama della sicurezza informatica. Mentre gli sviluppatori si allontanano da Xamarin e adottano .NET MAUI, i criminali informatici stanno seguendo l'esempio, perfezionando le loro tecniche per sfruttare le capacità del framework. Questo cambiamento sottolinea la necessità di una maggiore vigilanza sia tra gli utenti che tra gli sviluppatori.

Il rischio di installare tali app false è sostanziale per gli utenti. I dati rubati possono quindi essere sfruttati per furto di identità, frode finanziaria o vendita sul dark web. Inoltre, l'accesso a file e messaggi personali può portare a gravi violazioni della privacy.

Per i professionisti della sicurezza e gli sviluppatori, l'aumento del malware basato su .NET MAUI richiede meccanismi di rilevamento migliorati. Gli strumenti di sicurezza esistenti devono adattarsi per riconoscere le minacce nascoste nei blob binari C# e nei payload caricati dinamicamente. Gli sviluppatori devono anche assicurarsi di seguire le best practice di sicurezza quando creano applicazioni .NET MAUI per prevenire potenziali vulnerabilità che gli aggressori potrebbero sfruttare.

Come restare al sicuro

Per proteggersi dalle minacce rappresentate da FakeApp e da campagne malware simili, gli utenti devono adottare le seguenti precauzioni:

  1. Scarica le app solo dagli store ufficiali : per scaricare le applicazioni, utilizza il Google Play Store o altre fonti attendibili. Evita di installare app da siti Web di terze parti o link ricevuti tramite messaggi.
  2. Controlla le autorizzazioni delle app : fai attenzione alle app che richiedono autorizzazioni non necessarie, ad esempio l'accesso ai contatti, agli SMS o alle foto archiviate.
  3. Verifica l'autenticità dell'app : prima di installare un'applicazione, verificane la legittimità controllando i dettagli dello sviluppatore, le recensioni e le valutazioni.
  4. Utilizza un software di sicurezza : installa applicazioni di sicurezza mobile affidabili in grado di rilevare e bloccare potenziali minacce.
  5. Mantieni aggiornato il software : aggiorna regolarmente sia il sistema operativo sia le applicazioni installate per correggere le vulnerabilità che gli aggressori potrebbero sfruttare.

Considerazioni finali

L'uso di .NET MAUI nella creazione di app Android false segna un'evoluzione significativa nello sviluppo di malware. I criminali informatici si stanno adattando sempre di più ai progressi tecnologici, sfruttando framework moderni per eludere il rilevamento e compromettere la sicurezza degli utenti. Restando informati e adottando abitudini digitali sicure, gli utenti possono ridurre i rischi di imbattersi in queste minacce ingannevoli. Mentre le sfide della sicurezza informatica continuano a evolversi, la vigilanza rimane la chiave per proteggere le informazioni personali e finanziarie in un mondo sempre più interconnesso.

Entro il Willa
March 26, 2025
Android Malware
Italiano
March 26, 2025
Android Malware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.