.NET MAUI 偽 Android アプリの仕組み
サイバーセキュリティの専門家は、Microsoft の.NET マルチプラットフォーム アプリ UI (.NET MAUI)フレームワークを利用して不正な銀行業務やソーシャル メディア アプリケーションを作成する Android マルウェアの新たな波を特定しました。これらの悪意のあるアプリケーションは主に中国語とインド語を話すユーザーをターゲットにしており、個人情報の機密情報を盗むことを目的としています。
Table of Contents
.NET MAUI とは何ですか? なぜ悪用されるのですか?
.NET MAUI は、Microsoft が作成したクロスプラットフォーム アプリケーション開発フレームワークです。開発者は、C# と XAML で記述された単一のコードベースを使用して、Android、iOS、macOS、Windows などの複数のオペレーティング システム向けのネイティブ アプリケーションを構築できます。これは、2024 年 5 月 1 日に正式にサポートが終了した Xamarin フレームワークの進化版です。この移行に伴い、Microsoft は開発者に、継続的なサポートと更新のために .NET MAUI に移行することを推奨しています。
これまでのマルウェア攻撃では Xamarin が利用されていましたが、サイバー犯罪者は現在、.NET MAUI に移行しています。この移行の理由は、このフレームワークが、バイナリ BLOB として保存された C# コード内にコア機能をカプセル化する独自の機能を備えているためです。実行に DEX ファイルやネイティブ ライブラリに依存する従来の Android アプリケーションとは異なり、.NET MAUI ベースのアプリにはこれらの典型的なインジケーターがないため、検出や分析が困難です。これにより、脅威アクターは、疑われることなく悪意のあるアプリケーションを長期間配布および維持できるという利点を得ています。
偽アプリの仕組み
「FakeApp」と呼ばれるこれらの不正なアプリケーションは、正規の金融アプリやソーシャルメディアアプリを装っています。サイバーセキュリティアナリストは、金融サービスやX(旧Twitter)などのソーシャルメディアプラットフォームを装った偽のアプリを複数特定しています。これらのアプリケーションはGoogle Playでは入手できず、メッセージングアプリ経由で送信される偽のリンクを通じて配布されます。ユーザーは、非公式のアプリストアからダウンロードするように騙され、マルウェアに感染するリスクが高まります。
これらのアプリはインストールされると過剰な権限を要求し、密かに個人データを収集します。ある例では、インドの金融サービスを装ったアプリが、ユーザーの氏名、電話番号、メールアドレス、自宅住所、生年月日、クレジットカードの詳細、政府発行の身分証明書番号などの重要な情報を抜き出しました。別の不正アプリはXになりすまし、中国語を話すユーザーをターゲットにして、連絡先、SMSメッセージ、写真をデバイスから盗みました。
検出を回避するために使用される技術
これらの悪意のあるアプリケーションの開発者は、検出と分析を回避するためにさまざまな高度な技術を採用しています。重要な方法の 1 つは、.NET MAUI をパッカーとして使用し、アプリケーション内に悪意のあるコードを効果的に隠すことです。従来の Android マルウェアとは異なり、これらのアプリは暗号化されたローダー メカニズムを使用してペイロードを動的に実行します。
さらに、このマルウェアには、XOR 暗号化されたローダーを使用して AES 暗号化されたペイロードを復号化する、多段階の動的ロード技術が組み込まれています。この最終段階では、実際のマルウェア機能を実行するために必要な .NET MAUI アセンブリがロードされます。このように攻撃を構造化することで、サイバー犯罪者はセキュリティ研究者が脅威を分析して無効化することを非常に困難にしています。
もう 1 つの欺瞞的な手法は、AndroidManifest.xml ファイルに「android.permission.LhSSzIw6q」などの意味のない権限を追加することです。これらの誤解を招く権限は、自動セキュリティ分析ツールを混乱させるために挿入され、アプリを疑わしいものとしてフラグを立てにくくします。
このマルウェアの影響
.NET MAUI を利用するマルウェアの出現は、サイバーセキュリティ分野における脅威の進化を表しています。開発者が Xamarin から .NET MAUI に移行するにつれて、サイバー犯罪者もそれに倣い、フレームワークの機能を悪用する手法を改良しています。この変化は、ユーザーと開発者の両方が警戒を強化する必要があることを示しています。
このような偽アプリをインストールすると、ユーザーにとって大きなリスクが生じます。盗まれたデータは、個人情報の盗難、金融詐欺、ダークウェブでの販売に悪用される可能性があります。さらに、個人のファイルやメッセージへのアクセスは、深刻なプライバシー侵害につながる可能性があります。
セキュリティ専門家や開発者にとって、.NET MAUI ベースのマルウェアの増加は、検出メカニズムの改善を必要としています。既存のセキュリティ ツールは、C# バイナリ BLOB や動的に読み込まれるペイロード内に隠された脅威を認識できるように適応する必要があります。また、開発者は、攻撃者が悪用する可能性のある潜在的な脆弱性を防ぐために、.NET MAUI アプリケーションを構築するときにセキュリティのベスト プラクティスに従う必要があります。
安全を保つ方法
FakeApp や同様のマルウェア キャンペーンによる脅威から身を守るために、ユーザーは次の予防策を講じる必要があります。
- アプリは必ず公式ストアからダウンロードしてください- アプリケーションのダウンロードには、Google Play ストアなどの信頼できるソースを使用してください。サードパーティの Web サイトやメッセージ経由で受信したリンクからアプリをインストールしないでください。
- アプリの権限を確認する- 連絡先、SMS、保存された写真へのアクセスなど、不要な権限を要求するアプリには注意してください。
- アプリの信頼性を確認する- アプリケーションをインストールする前に、開発者の詳細、レビュー、評価を確認して、その正当性を調べます。
- セキュリティ ソフトウェアを使用する- 潜在的な脅威を検出してブロックできる評判の良いモバイル セキュリティ アプリケーションをインストールします。
- ソフトウェアを最新の状態に保つ- 攻撃者が悪用する可能性のある脆弱性を修正するために、オペレーティング システムとインストールされているアプリケーションの両方を定期的に更新します。
最後に
偽の Android アプリを作成する際に .NET MAUI が使用されることは、マルウェア開発の大きな進化を示しています。サイバー犯罪者は、最新のフレームワークを利用して検出を回避し、ユーザーのセキュリティを侵害するなど、ますます技術の進歩に適応しています。情報を入手し、安全なデジタル習慣を身につけることで、ユーザーはこれらの欺瞞的な脅威に遭遇するリスクを軽減できます。サイバーセキュリティの課題は進化し続けていますが、ますます相互接続される世界では、警戒を怠らずに個人情報や金融情報を保護することが鍵となります。
