Jak działają fałszywe aplikacje Android .NET MAUI

Eksperci ds. cyberbezpieczeństwa zidentyfikowali kolejną falę złośliwego oprogramowania na Androida, które wykorzystuje platformę .NET Multi-platform App UI (.NET MAUI) firmy Microsoft do tworzenia oszukańczych aplikacji bankowych i społecznościowych. Te złośliwe aplikacje są skierowane głównie do użytkowników mówiących po chińsku i indyjsku, a ich celem jest kradzież poufnych danych osobowych.

Czym jest .NET MAUI i dlaczego jest wykorzystywany?

.NET MAUI to wieloplatformowy framework do tworzenia aplikacji stworzony przez Microsoft. Umożliwia deweloperom tworzenie natywnych aplikacji dla wielu systemów operacyjnych, w tym Android, iOS, macOS i Windows, przy użyciu jednej bazy kodu napisanej w C# i XAML. Jest to ewolucja frameworka Xamarin, który oficjalnie zakończył wsparcie 1 maja 2024 r. Dzięki tej zmianie Microsoft zachęcił deweloperów do migracji do .NET MAUI w celu uzyskania dalszego wsparcia i aktualizacji.

Podczas gdy poprzednie kampanie malware wykorzystywały Xamarin, cyberprzestępcy przeszli teraz na .NET MAUI. Powodem tej zmiany jest unikalna zdolność frameworka do enkapsulacji podstawowych funkcjonalności w kodzie C# przechowywanym jako binarne bloby. W przeciwieństwie do konwencjonalnych aplikacji Android, które polegają na plikach DEX lub natywnych bibliotekach do wykonywania, aplikacje oparte na .NET MAUI nie mają tych typowych wskaźników, co utrudnia ich wykrywanie i analizowanie. Daje to atakującym przewagę w dystrybucji i utrzymywaniu złośliwych aplikacji przez dłuższy czas bez wzbudzania podejrzeń.

Jak działają te fałszywe aplikacje

Określane jako „FakeApp” te oszukańcze aplikacje podszywają się pod legalne aplikacje finansowe lub społecznościowe. Analitycy ds. cyberbezpieczeństwa zidentyfikowali wiele fałszywych aplikacji podszywających się pod usługi finansowe i platformy społecznościowe, takie jak X (dawniej Twitter). Te aplikacje nie są dostępne w Google Play, ale są dystrybuowane za pośrednictwem oszukańczych linków wysyłanych za pośrednictwem aplikacji do przesyłania wiadomości. Użytkownicy są oszukiwani, aby pobierać je z nieoficjalnych sklepów z aplikacjami, co zwiększa ryzyko narażenia na złośliwe oprogramowanie.

Po zainstalowaniu aplikacje te żądają nadmiernych uprawnień i potajemnie zbierają dane osobowe. W jednym przypadku aplikacja podszywająca się pod indyjską usługę finansową wydobyła krytyczne informacje, w tym pełne imiona i nazwiska użytkowników, numery telefonów, adresy e-mail, adresy domowe, daty urodzenia, dane kart kredytowych i numery identyfikacyjne wydane przez rząd. Inna oszukańcza aplikacja podszywała się pod X, atakując użytkowników mówiących po chińsku i kradnąc kontakty, wiadomości SMS i zdjęcia z ich urządzeń.

Techniki stosowane w celu uniknięcia wykrycia

Twórcy tych złośliwych aplikacji stosują różne wyrafinowane techniki, aby uniknąć wykrycia i analizy. Jedną z kluczowych metod jest używanie .NET MAUI jako programu pakującego, skutecznie ukrywając złośliwy kod w aplikacji. W przeciwieństwie do tradycyjnego złośliwego oprogramowania dla systemu Android, te aplikacje polegają na mechanizmie szyfrowanego programu ładującego, aby dynamicznie wykonywać swoje ładunki.

Ponadto złośliwe oprogramowanie wykorzystuje wieloetapowe techniki dynamicznego ładowania, w których ładowacz szyfrowany metodą XOR jest używany do odszyfrowania ładunku szyfrowanego metodą AES. Ten ostatni etap ładuje niezbędne zestawy .NET MAUI, które wykonują rzeczywiste funkcje złośliwego oprogramowania. Strukturyzując atak w ten sposób, cyberprzestępcy znacznie utrudniają badaczom ds. bezpieczeństwa analizowanie i neutralizowanie ich zagrożeń.

Inna oszukańcza taktyka polega na dodawaniu bezsensownych uprawnień do pliku AndroidManifest.xml, takich jak „android.permission.LhSSzIw6q”. Te wprowadzające w błąd uprawnienia są wstawiane w celu zmylenia zautomatyzowanych narzędzi do analizy bezpieczeństwa, utrudniając im oznaczenie aplikacji jako podejrzanej.

Konsekwencje tego złośliwego oprogramowania

Pojawienie się złośliwego oprogramowania wykorzystującego .NET MAUI stanowi rozwijające się zagrożenie w krajobrazie cyberbezpieczeństwa. W miarę jak deweloperzy odchodzą od Xamarin i przyjmują .NET MAUI, cyberprzestępcy idą w ich ślady, udoskonalając swoje techniki, aby wykorzystać możliwości frameworka. Ta zmiana podkreśla potrzebę wzmożonej czujności zarówno wśród użytkowników, jak i deweloperów.

Ryzyko instalowania takich fałszywych aplikacji jest znaczne dla użytkowników. Skradzione dane mogą być następnie wykorzystane do kradzieży tożsamości, oszustw finansowych lub sprzedaży w dark webie. Ponadto dostęp do osobistych plików i wiadomości może prowadzić do poważnych naruszeń prywatności.

Dla specjalistów ds. bezpieczeństwa i deweloperów wzrost złośliwego oprogramowania opartego na .NET MAUI wymaga ulepszonych mechanizmów wykrywania. Istniejące narzędzia bezpieczeństwa muszą dostosować się do rozpoznawania zagrożeń ukrytych w binarnych blobach C# i dynamicznie ładowanych ładunkach. Deweloperzy muszą również upewnić się, że stosują się do najlepszych praktyk bezpieczeństwa podczas tworzenia aplikacji .NET MAUI, aby zapobiec potencjalnym lukom, które atakujący mogliby wykorzystać.

Jak zachować bezpieczeństwo

Aby chronić się przed zagrożeniami ze strony FakeApp i podobnych kampanii złośliwego oprogramowania, użytkownicy powinni podjąć następujące środki ostrożności:

  1. Pobieraj aplikacje wyłącznie z oficjalnych sklepów - Trzymaj się Google Play Store lub innych zaufanych źródeł pobierania aplikacji. Unikaj instalowania aplikacji z witryn stron trzecich lub linków otrzymanych w wiadomościach.
  2. Sprawdź uprawnienia aplikacji – zachowaj ostrożność w przypadku aplikacji, które proszą o niepotrzebne uprawnienia, na przykład dostęp do kontaktów, wiadomości SMS lub zapisanych zdjęć.
  3. Sprawdź autentyczność aplikacji — przed zainstalowaniem jakiejkolwiek aplikacji sprawdź jej autentyczność, sprawdzając informacje o deweloperze, recenzje i oceny.
  4. Używaj oprogramowania zabezpieczającego — zainstaluj sprawdzone aplikacje zabezpieczające urządzenia mobilne, które potrafią wykrywać i blokować potencjalne zagrożenia.
  5. Aktualizuj oprogramowanie — regularnie aktualizuj system operacyjny i zainstalowane aplikacje, aby łatać luki w zabezpieczeniach, które mogą zostać wykorzystane przez atakujących.

Ostatnie przemyślenia

Użycie .NET MAUI do tworzenia fałszywych aplikacji na Androida oznacza znaczącą ewolucję w rozwoju złośliwego oprogramowania. Cyberprzestępcy coraz częściej dostosowują się do postępu technologicznego, wykorzystując nowoczesne ramy, aby uniknąć wykrycia i naruszyć bezpieczeństwo użytkowników. Dzięki pozostawaniu poinformowanym i przyjmowaniu bezpiecznych nawyków cyfrowych użytkownicy mogą zmniejszyć ryzyko napotkania tych zwodniczych zagrożeń. W miarę jak wyzwania związane z cyberbezpieczeństwem nadal ewoluują, czujność pozostaje kluczem do ochrony danych osobowych i finansowych w coraz bardziej połączonym świecie.

Do Willa
March 26, 2025
Android Malware
Polski
March 26, 2025
Android Malware

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.