Hvordan .NET MAUI falske Android-apper fungerer

Eksperter på nettsikkerhet har identifisert en annen bølge av Android-skadevare som bruker Microsofts .NET Multi-platform App UI (.NET MAUI) rammeverk for å lage uredelige bank- og sosiale medier-applikasjoner. Disse ondsinnede applikasjonene retter seg først og fremst mot brukere som snakker kinesisk og indiske språk, med sikte på å stjele sensitiv personlig informasjon.

Hva er .NET MAUI og hvorfor blir det utnyttet?

.NET MAUI er et rammeverk for applikasjonsutvikling på tvers av plattformer laget av Microsoft. Det lar utviklere bygge native applikasjoner for flere operativsystemer, inkludert Android, iOS, macOS og Windows, ved å bruke en enkelt kodebase skrevet i C# og XAML. Det er en videreutvikling av Xamarin-rammeverket, som offisielt avsluttet støtten 1. mai 2024. Med denne overgangen har Microsoft oppfordret utviklere til å migrere til .NET MAUI for fortsatt støtte og oppdateringer.

Mens tidligere malware-kampanjer har utnyttet Xamarin, har nettkriminelle nå gått over til .NET MAUI. Årsaken bak denne overgangen ligger i rammeverkets unike evne til å innkapsle kjernefunksjonaliteter i C#-kode lagret som binære blobs. I motsetning til konvensjonelle Android-applikasjoner, som er avhengige av DEX-filer eller native biblioteker for kjøring, mangler .NET MAUI-baserte apper disse typiske indikatorene, noe som gjør dem vanskeligere å oppdage og analysere. Dette gir trusselaktører en fordel i å distribuere og vedlikeholde sine ondsinnede applikasjoner i lengre perioder uten å vekke mistanke.

Hvordan disse falske appene fungerer

Disse uredelige applikasjonene, kalt "FakeApp", forkleder seg som legitime apper for økonomiske eller sosiale medier. Cybersikkerhetsanalytikere har identifisert flere falske apper som er maskert som finansielle tjenester og sosiale medieplattformer som X (tidligere Twitter). Disse appene er ikke tilgjengelige på Google Play, men distribueres i stedet gjennom villedende lenker sendt via meldingsapper. Brukere blir lurt til å laste dem ned fra uoffisielle appbutikker, noe som øker risikoen for eksponering for skadelig programvare.

Når de er installert, ber disse appene om overdrevne tillatelser og samler snikende inn personlige data. I ett tilfelle hentet en app som utgir seg for å være en indisk finanstjeneste viktig informasjon, inkludert brukernes fulle navn, telefonnumre, e-postadresser, hjemmeadresser, fødselsdatoer, kredittkortdetaljer og offentlig utstedte identifikasjonsnumre. En annen uredelig app etterlignet X, rettet mot kinesisktalende brukere og stjal kontakter, SMS-meldinger og bilder fra enhetene deres.

Teknikker som brukes for å unngå deteksjon

Utviklerne bak disse ondsinnede applikasjonene bruker forskjellige sofistikerte teknikker for å unngå oppdagelse og analyse. En av nøkkelmetodene er å bruke .NET MAUI som en pakker, som effektivt skjuler den skadelige koden i applikasjonen. I motsetning til tradisjonell Android-skadevare, er disse appene avhengige av en kryptert lastemekanisme for å utføre nyttelastene sine dynamisk.

I tillegg inkorporerer skadelig programvare flertrinns dynamiske lasteteknikker, der en XOR-kryptert laster brukes til å dekryptere en AES-kryptert nyttelast. Dette siste stadiet laster inn de nødvendige .NET MAUI-sammenstillingene som utfører de faktiske skadevarefunksjonene. Ved å strukturere angrepet deres på denne måten, gjør nettkriminelle det betydelig mer utfordrende for sikkerhetsforskere å analysere og nøytralisere truslene deres.

En annen villedende taktikk innebærer å legge til meningsløse tillatelser til AndroidManifest.xml-filen, for eksempel "android.permission.LhSSzIw6q." Disse villedende tillatelsene er satt inn for å forvirre automatiserte sikkerhetsanalyseverktøy, noe som gjør det vanskelig for dem å flagge appen som mistenkelig.

Implikasjonene av denne skadelige programvaren

Fremveksten av skadelig programvare som utnytter .NET MAUI representerer en utviklende trussel i cybersikkerhetslandskapet. Etter hvert som utviklere går bort fra Xamarin og tar i bruk .NET MAUI, følger nettkriminelle etter, og raffinerer teknikkene sine for å utnytte rammeverkets muligheter. Dette skiftet understreker behovet for økt årvåkenhet blant brukere og utviklere.

Risikoen ved å installere slike falske apper er betydelig for brukerne. De stjålne dataene kan deretter utnyttes til identitetstyveri, økonomisk svindel eller salg på det mørke nettet. Videre kan tilgang til personlige filer og meldinger føre til alvorlige personvernbrudd.

For sikkerhetseksperter og utviklere krever fremveksten av .NET MAUI-basert skadelig programvare forbedrede gjenkjenningsmekanismer. Eksisterende sikkerhetsverktøy må tilpasses for å gjenkjenne trusler som er skjult i C#-binære blobs og dynamisk lastede nyttelaster. Utviklere må også sørge for at de følger beste sikkerhetspraksis når de bygger .NET MAUI-applikasjoner for å forhindre potensielle sårbarheter som angripere kan utnytte.

Hvordan holde seg trygg

For å beskytte mot trusler fra FakeApp og lignende malware-kampanjer, bør brukere ta følgende forholdsregler:

  1. Last ned apper utelukkende fra offisielle butikker - Hold deg til Google Play Store eller andre pålitelige kilder for nedlasting av apper. Unngå å installere apper fra tredjeparts nettsteder eller lenker mottatt via meldinger.
  2. Sjekk apptillatelser – Vær forsiktig med apper som ber om unødvendige tillatelser, for eksempel tilgang til kontakter, SMS eller lagrede bilder.
  3. Bekreft appens autentisitet – Før du installerer en applikasjon, undersøk dens legitimitet ved å sjekke utviklerdetaljer, anmeldelser og vurderinger.
  4. Bruk sikkerhetsprogramvare – Installer anerkjente mobile sikkerhetsapplikasjoner som kan oppdage og blokkere potensielle trusler.
  5. Hold programvaren oppdatert - Oppdater regelmessig både operativsystemet og installerte applikasjoner for å korrigere sårbarheter som angripere kan utnytte.

Siste tanker

Bruken av .NET MAUI til å lage falske Android-apper markerer en betydelig utvikling i utviklingen av skadelig programvare. Cyberkriminelle tilpasser seg i økende grad til teknologiske fremskritt, og utnytter moderne rammeverk for å unngå oppdagelse og kompromittere brukersikkerhet. Ved å holde seg informert og ta i bruk trygge digitale vaner, kan brukere redusere risikoen for å møte disse villedende truslene. Ettersom cybersikkerhetsutfordringene fortsetter å utvikle seg, er årvåkenhet fortsatt nøkkelen til å beskytte personlig og finansiell informasjon i en stadig mer sammenkoblet verden.

Innen Willa
March 26, 2025
Android Malware
Norsk
March 26, 2025
Android Malware

Populære innlegg

Hva er OperaGXSetup.exe-filen og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne popup-vinduer er...

12 days siden

Legg merke til: Noen la deg til som sin...

10 months siden

HackTool:Win32/Crack: en ondsinnet trussel som kan alvorlig...

7 months siden

En potensielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hva er trusselen om den trojanske hesten fra Packunwan og...

11 months siden
Norsk
Laster ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.