Cybersecurity-onderzoekers vestigen de aandacht op een Android-malware-campagne die gebruik maakt van het framework van Microsoft Multi-Platform App UI (.NET Maui) om nep-bankieren en sociale media-apps te creëren die zich richten op Indiase en Chinees sprekende gebruikers.
“Deze bedreigingen verbergen zichzelf als legitieme apps, gericht op gebruikers om gevoelige informatie te stelen,” zei McAfee Labs -onderzoeker Dexter Shin.
.NET Maui is Microsoft’s platformonafhankelijke desktop- en mobiele app-framework voor het maken van native applicaties met behulp van C# en XAML. Het vertegenwoordigt een evolutie van Xamarin, met toegevoegde mogelijkheden om niet alleen multi-platform-apps te maken met behulp van een enkel project, maar ook platformspecifieke broncode op te nemen als en indien nodig.
Het is vermeldenswaard dat de officiële steun voor Xamarin op 1 mei 2024 eindigde, waarbij de tech -gigant ontwikkelaars aanspoorde om te migreren naar .NET Maui.
Hoewel Android -malware geïmplementeerd met Xamarin in het verleden is gedetecteerd, zijn de nieuwste ontwikkelingssignalen die dreigingsactoren blijven aanpassen en hun tactiek verfijnen door nieuwe malware te ontwikkelen met .NET Maui.
“Deze apps hebben hun kernfunctionaliteiten volledig geschreven in C# en opgeslagen als Blob Binaries,” zei Shin. “Dit betekent dat in tegenstelling tot traditionele Android -apps, hun functionaliteiten niet bestaan in DEX -bestanden of native bibliotheken.”
Dit geeft een nieuw voordeel voor dreigingsacteurs in die .NET Maui fungeert als een packer, waardoor de kwaadaardige artefacten gedetecteerd kunnen worden en langdurig slachtofferapparaten blijven bestaan.
De op .NET Maui -gebaseerde Android -apps, gezamenlijk codenaam FakeApp, en hun bijbehorende pakketnamen worden hieronder vermeld –
- X (pkprig.cljobo)
- 迷城 (pcdhcg.ceongl)
- X (PDHE3S.CXBDXZ)
- X (ppl74t.cgddfk)
- Cupido (pommnc.cstgat)
- X (pinunu.cbb8ak)
- 私密相册 (pbonci.cuvnxz)
- X • gdn (pgkhe9.ckjo4p)
- 迷城 (pcdhcg.ceongl)
- 小宇宙 (p9z2ej.cplkqv)
- X (pdxatr.c9c6j7)
- 迷城 (PG92LI.CDBRQ7)
- 依恋 (PZQA70.CFZO30)
- 慢夜 (paqpn.ccf9n3)
- Indus creditcard (indus.credit.card)
- Indusind -kaart (com.rewardz.card)
Er is geen bewijs dat deze apps worden gedistribueerd onder Google Play. Integendeel, de belangrijkste propagatievector omvat het misleiden van gebruikers om te klikken op neplinks die zijn verzonden via berichten -apps die ongewenste ontvangers omleiden naar onofficiële app -winkels.
In een voorbeeld dat door McAfee is benadrukt, vermomt de app als een Indiase financiële instelling om de gevoelige informatie van gebruikers te verzamelen, inclusief volledige namen, mobiele nummers, e-mailadressen, geboortedata, residentiële adressen, creditcardnummers en door de overheid uitgegeven identificatiegegevens.
Een andere app bootst de sociale mediasite X na om contacten, sms -berichten en foto’s van slachtofferapparaten te stelen. De app richt zich voornamelijk op Chinees sprekende gebruikers via websites van derden of alternatieve app-winkels.
Naast het gebruik van gecodeerde socketcommunicatie om geoogste gegevens naar een command-and-control (C2) -server te verzenden, is de malware waargenomen, waaronder verschillende betekenisloze machtigingen voor het AndroidManifest.xml-bestand (bijv., “Android.Permission.lhssziw6q”) in een poging om analysetools te breken.
Ook gebruikt om niet gedetecteerd te blijven, is een techniek genaamd Multi-Stage Dynamic Loading, die gebruik maakt van een XOR-gecodeerde lader die verantwoordelijk is voor het lanceren van een door AES-gecodeerde lading die op zijn beurt laadt .NET Maui-assemblages die zijn ontworpen om de malware uit te voeren.
“De belangrijkste lading is uiteindelijk verborgen binnen de C# -code,” zei Shin. “Wanneer de gebruiker interactie heeft met de app, zoals op een knop drukken, steelt de malware zwijgend hun gegevens en stuurt deze naar de C2 -server.”
