.NET MAUI 伪造 Android 应用程序的工作原理
网络安全专家发现了另一波 Android 恶意软件,它们利用 Microsoft 的.NET 多平台应用 UI (.NET MAUI)框架来创建欺诈性银行和社交媒体应用程序。这些恶意应用程序主要针对使用中文和印度语言的用户,目的是窃取敏感的个人信息。
Table of Contents
什么是 .NET MAUI 以及它为什么会被利用?
.NET MAUI 是 Microsoft 创建的跨平台应用程序开发框架。它允许开发人员使用用 C# 和 XAML 编写的单一代码库为多种操作系统(包括 Android、iOS、macOS 和 Windows)构建本机应用程序。它是 Xamarin 框架的演变,该框架于 2024 年 5 月 1 日正式终止支持。通过这一过渡,Microsoft 鼓励开发人员迁移到 .NET MAUI 以获得持续的支持和更新。
虽然之前的恶意软件活动利用了 Xamarin,但网络犯罪分子现在已经转向 .NET MAUI。这种转变背后的原因在于该框架具有将核心功能封装在以二进制 blob 形式存储的 C# 代码中的独特能力。与依赖 DEX 文件或本机库执行的传统 Android 应用程序不同,基于 .NET MAUI 的应用程序缺乏这些典型指标,因此更难检测和分析。这让威胁行为者在长时间分发和维护恶意应用程序而不引起怀疑方面具有优势。
这些虚假应用程序如何运作
这些被称为“FakeApp”的欺诈性应用程序会伪装成合法的金融或社交媒体应用程序。网络安全分析师已发现多个伪装成金融服务和社交媒体平台(如 X(以前称为 Twitter))的假冒应用程序。这些应用程序不在 Google Play 上提供,而是通过消息应用程序发送的欺骗性链接进行传播。用户被诱骗从非官方应用商店下载这些应用程序,从而增加了接触恶意软件的风险。
一旦安装,这些应用程序就会请求过多的权限并秘密收集个人数据。在一个案例中,一款伪装成印度金融服务的应用程序窃取了关键信息,包括用户的全名、电话号码、电子邮件地址、家庭住址、出生日期、信用卡详细信息和政府颁发的身份证号码。另一款欺诈性应用程序冒充 X,针对讲中文的用户,并从他们的设备中窃取联系人、短信和照片。
逃避检测的技术
这些恶意应用程序背后的开发人员采用了各种复杂的技术来避免检测和分析。其中一种关键方法是使用 .NET MAUI 作为打包程序,有效地将恶意代码隐藏在应用程序中。与传统的 Android 恶意软件不同,这些应用程序依靠加密的加载器机制来动态执行其有效负载。
此外,该恶意软件还采用了多阶段动态加载技术,其中使用 XOR 加密加载器来解密 AES 加密的有效负载。最后阶段会加载执行实际恶意软件功能的必要 .NET MAUI 程序集。通过以这种方式构建攻击,网络犯罪分子使安全研究人员更难分析和消除其威胁。
另一种欺骗手段是向 AndroidManifest.xml 文件添加无意义的权限,例如“android.permission.LhSSzIw6q”。这些误导性权限的插入是为了迷惑自动安全分析工具,使它们难以将应用标记为可疑应用。
该恶意软件的影响
利用 .NET MAUI 的恶意软件的出现代表着网络安全领域不断演变的威胁。随着开发人员放弃 Xamarin 并采用 .NET MAUI,网络犯罪分子也纷纷效仿,改进他们的技术以利用该框架的功能。这种转变强调了用户和开发人员都需要提高警惕。
安装此类虚假应用程序对用户而言风险极大。被盗数据可能被用于身份盗窃、金融诈骗或在暗网上销售。此外,访问个人文件和消息可能导致严重的隐私泄露。
对于安全专业人员和开发人员来说,基于 .NET MAUI 的恶意软件的兴起要求改进检测机制。现有的安全工具必须适应识别隐藏在 C# 二进制 blob 和动态加载的有效负载中的威胁。开发人员还必须确保在构建 .NET MAUI 应用程序时遵循最佳安全实践,以防止攻击者可能利用的潜在漏洞。
如何保证安全
为了防范 FakeApp 和类似恶意软件活动带来的威胁,用户应采取以下预防措施:
- 仅从官方商店下载应用程序- 坚持使用 Google Play 商店或其他可信赖的来源下载应用程序。避免安装来自第三方网站或通过消息收到的链接的应用程序。
- 检查应用程序权限- 警惕应用程序请求不必要的权限,例如访问联系人、短信或存储的照片。
- 验证应用程序的真实性-在安装任何应用程序之前,请通过检查开发人员详细信息、评论和评级来研究其合法性。
- 使用安全软件- 安装可以检测和阻止潜在威胁的知名移动安全应用程序。
- 保持软件更新-定期更新操作系统和已安装的应用程序以修补攻击者可能利用的漏洞。
最后的想法
使用 .NET MAUI 制作虚假 Android 应用程序标志着恶意软件开发的重大发展。网络犯罪分子越来越多地适应技术进步,利用现代框架逃避检测并危害用户安全。通过保持知情并养成安全的数字化习惯,用户可以降低遭遇这些欺骗性威胁的风险。随着网络安全挑战不断演变,在日益互联的世界中,保持警惕仍然是保护个人和财务信息的关键。
