Hur .NET MAUI falska Android-appar fungerar

Cybersäkerhetsexperter har identifierat ytterligare en våg av skadlig programvara för Android som använder Microsofts .NET Multi-platform App UI (.NET MAUI) ramverk för att skapa bedrägliga bank- och sociala medieapplikationer. Dessa skadliga applikationer riktar sig främst till användare som talar kinesiska och indiska språk, i syfte att stjäla känslig personlig information.

Vad är .NET MAUI och varför utnyttjas det?

.NET MAUI är ett plattformsoberoende ramverk för applikationsutveckling skapat av Microsoft. Det låter utvecklare bygga inbyggda applikationer för flera operativsystem, inklusive Android, iOS, macOS och Windows, med en enda kodbas skriven i C# och XAML. Det är en vidareutveckling av Xamarin-ramverket, som officiellt avslutade sitt stöd den 1 maj 2024. Med denna övergång har Microsoft uppmuntrat utvecklare att migrera till .NET MAUI för fortsatt support och uppdateringar.

Medan tidigare skadliga kampanjer har utnyttjat Xamarin, har cyberkriminella nu gått över till .NET MAUI. Anledningen bakom denna övergång ligger i ramverkets unika förmåga att kapsla in kärnfunktioner inom C#-kod lagrad som binära blobbar. Till skillnad från konventionella Android-applikationer, som förlitar sig på DEX-filer eller inhemska bibliotek för exekvering, saknar .NET MAUI-baserade appar dessa typiska indikatorer, vilket gör dem svårare att upptäcka och analysera. Detta ger hotaktörer en fördel i att distribuera och underhålla sina skadliga applikationer under längre perioder utan att väcka misstankar.

Hur dessa falska appar fungerar

Dessa bedrägliga applikationer, kallade "FakeApp", maskerar sig som legitima appar för finansiella eller sociala medier. Cybersäkerhetsanalytiker har identifierat flera falska appar som maskerar sig som finansiella tjänster och sociala medieplattformar som X (tidigare Twitter). Dessa appar är inte tillgängliga på Google Play utan distribueras istället via vilseledande länkar som skickas via meddelandeappar. Användare luras att ladda ner dem från inofficiella appbutiker, vilket ökar risken för exponering för skadlig programvara.

När de väl har installerats begär dessa appar överdrivna behörigheter och samlar smyg in personuppgifter. I ett fall utvann en app som utgav sig som en indisk finansiell tjänst viktig information, inklusive användarnas fullständiga namn, telefonnummer, e-postadresser, hemadresser, födelsedatum, kreditkortsuppgifter och myndighetsutfärdade identifikationsnummer. En annan bedräglig app efterliknade X, riktade in sig på kinesisktalande användare och stjäl kontakter, SMS och foton från deras enheter.

Tekniker som används för att undvika upptäckt

Utvecklarna bakom dessa skadliga applikationer använder olika sofistikerade tekniker för att undvika upptäckt och analys. En av nyckelmetoderna är att använda .NET MAUI som packare, vilket effektivt döljer den skadliga koden i programmet. Till skillnad från traditionell skadlig programvara för Android, förlitar sig dessa appar på en krypterad laddningsmekanism för att utföra sina nyttolaster dynamiskt.

Dessutom innehåller den skadliga programvaran dynamiska laddningstekniker i flera steg, där en XOR-krypterad laddare används för att dekryptera en AES-krypterad nyttolast. Detta sista steg laddar de nödvändiga .NET MAUI-sammansättningarna som utför de faktiska skadliga funktionerna. Genom att strukturera sina attacker på detta sätt gör cyberbrottslingar det betydligt mer utmanande för säkerhetsforskare att analysera och neutralisera deras hot.

En annan vilseledande taktik innebär att lägga till meningslösa behörigheter till filen AndroidManifest.xml, till exempel "android.permission.LhSSzIw6q." Dessa vilseledande behörigheter infogas för att förvirra automatiserade säkerhetsanalysverktyg, vilket gör det svårt för dem att flagga appen som misstänkt.

Konsekvenserna av denna skadliga programvara

Framväxten av skadlig programvara som utnyttjar .NET MAUI representerar ett växande hot i cybersäkerhetslandskapet. När utvecklare flyttar bort från Xamarin och använder .NET MAUI, följer cyberkriminella efter och förfinar sina tekniker för att utnyttja ramverkets möjligheter. Denna förändring understryker behovet av ökad vaksamhet bland både användare och utvecklare.

Risken med att installera sådana falska appar är betydande för användarna. Den stulna informationen kan sedan utnyttjas för identitetsstöld, ekonomiskt bedrägeri eller försäljning på den mörka webben. Dessutom kan åtkomst till personliga filer och meddelanden leda till allvarliga integritetsintrång.

För säkerhetspersonal och utvecklare kräver uppkomsten av .NET MAUI-baserad skadlig programvara förbättrade upptäcktsmekanismer. Befintliga säkerhetsverktyg måste anpassa sig för att känna igen hot gömda inom binära C#-blobbar och dynamiskt laddade nyttolaster. Utvecklare måste också se till att de följer bästa säkerhetspraxis när de bygger .NET MAUI-applikationer för att förhindra potentiella sårbarheter som angripare kan utnyttja.

Hur man förblir säker

För att skydda mot hot från FakeApp och liknande skadliga kampanjer bör användare vidta följande försiktighetsåtgärder:

  1. Ladda ner appar enbart från officiella butiker - Håll dig till Google Play Butik eller andra pålitliga källor för att ladda ner appar. Undvik att installera appar från tredje parts webbplatser eller länkar som tas emot via meddelanden.
  2. Kontrollera appbehörigheter - Var försiktig med appar som begär onödiga behörigheter, till exempel tillgång till kontakter, SMS eller lagrade foton.
  3. Verifiera appens äkthet – Innan du installerar en app ska du undersöka dess legitimitet genom att kontrollera utvecklardetaljer, recensioner och betyg.
  4. Använd säkerhetsprogramvara - Installera välrenommerade mobila säkerhetsapplikationer som kan upptäcka och blockera potentiella hot.
  5. Håll programvaran uppdaterad - Uppdatera regelbundet både operativsystemet och installerade applikationer för att korrigera sårbarheter som angripare kan utnyttja.

Slutliga tankar

Användningen av .NET MAUI för att skapa falska Android-appar markerar en betydande utveckling av skadlig programvara. Cyberbrottslingar anpassar sig alltmer till tekniska framsteg och utnyttjar moderna ramverk för att undvika upptäckt och äventyra användarsäkerheten. Genom att hålla sig informerad och anta säkra digitala vanor kan användare minska riskerna för att möta dessa bedrägliga hot. När cybersäkerhetsutmaningarna fortsätter att utvecklas är vaksamhet fortfarande nyckeln till att skydda personlig och finansiell information i en allt mer sammankopplad värld.

År Willa
March 26, 2025
Android Malware
Svenska
March 26, 2025
Android Malware

Populära inlägg

Vad är OperaGXSetup.exe-filen och är den skadlig?

11 months sedan

Eporner.com och varför dess överdrivna popup-fönster är riskabla

12 days sedan

Notera: Någon har lagt till dig som sin e-postbedrägeri för...

10 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

7 months sedan

Ett potentiellt allvarligt hot: Trojan:Win32/Suschil!rfn

19 days sedan

Vad är hotet om den trojanska hästen från Packunwan och hur...

11 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.