Злоумышленники разработали вредоносное Android-приложение, использующее MAUI для создания поддельных банковских и социальных сервисов, целясь на пользователей из Индии и китайскоязычного сегмента.
MAUI, являющаяся эволюцией Xamarin, позволяет разрабатывать приложения на C и XAML для различных платформ в рамках одного проекта; поддержка Xamarin завершилась 1 мая 2024 года, что стимулирует переход на новую платформу.
Эксперт Dexter Shin из McAfee Labs отметил: «Эти угрозы замаскированы под легитимные приложения и нацелены на кражу конфиденциальной информации». Основной вредоносный код реализован на C и хранится в виде бинарных blob, что существенно затрудняет обнаружение по сравнению с традиционными DEX-файлами или нативными библиотеками.
Многоступенчатая динамическая загрузка начинается с XOR-шифрованного загрузчика, который инициирует AES-шифрованную полезную нагрузку, способную запускать MAUI; такой подход обеспечивает долговременное присутствие вредоносного ПО на заражённом устройстве.
В AndroidManifest.xml поддельных приложений намеренно добавлены бессмысленные разрешения, например «android.permission.LhSSzIw6q», что сбивает с толку анализирующие инструменты и способствует сокрытию реальных функций вредоносного кода.
Фальшивое банковское приложение, нацеленное на индийских пользователей, собирает персональные данные: полные имена, номера телефонов, адреса электронной почты, даты рождения, адреса проживания, номера кредитных карт и государственные идентификаторы; аналогичное социальное приложение, имитирующее платформу «X», похищает контакты, SMS-сообщения и фотографии у китайскоязычных пользователей.
Распространение вредоносного ПО осуществляется не через Google Play, а посредством ложных ссылок, распространяемых через мессенджеры, которые перенаправляют пользователей в неофициальные магазины приложений, обходя строгий контроль официальных платформ.
Зафиксированы следующие фейковые приложения на MAUI: X (pkPrIg.cljOBO), 迷城 (pCDhCg.cEOngl), X (pdhe3s.cXbDXZ), X (ppl74T.cgDdFK), Cupid (pommNC.csTgAT), X (pINUNU.cbb8AK), 私密相册 (pBOnCi.cUVNXz), X•GDN (pgkhe9.ckJo4P), 迷城 (pCDhCg.cEOngl), 小宇宙 (p9Z2Ej.cplkQv), X (pDxAtR.c9C6j7), 迷城 (pg92Li.cdbrQ7), 依恋 (pZQA70.cFzO30), 慢夜 (pAQPSN.CcF9N3), indus credit card (indus.credit.card) и Indusind Card (com.rewardz.card).
Использование C для реализации основных функций и хранение их в виде бинарных blob усложняет традиционный анализ вредоносного кода, позволяя зловредному программному обеспечению обходить стандартные механизмы обнаружения и оставаться незамеченным.
Система шифрования организует передачу похищенных данных на командно-управляющий сервер посредством зашифрованных сокетных соединений; пользовательские действия, такие как нажатие кнопок, незаметно активируют процессы кражи данных.
Изображение носит иллюстративный характер
MAUI, являющаяся эволюцией Xamarin, позволяет разрабатывать приложения на C и XAML для различных платформ в рамках одного проекта; поддержка Xamarin завершилась 1 мая 2024 года, что стимулирует переход на новую платформу.
Эксперт Dexter Shin из McAfee Labs отметил: «Эти угрозы замаскированы под легитимные приложения и нацелены на кражу конфиденциальной информации». Основной вредоносный код реализован на C и хранится в виде бинарных blob, что существенно затрудняет обнаружение по сравнению с традиционными DEX-файлами или нативными библиотеками.
Многоступенчатая динамическая загрузка начинается с XOR-шифрованного загрузчика, который инициирует AES-шифрованную полезную нагрузку, способную запускать MAUI; такой подход обеспечивает долговременное присутствие вредоносного ПО на заражённом устройстве.
В AndroidManifest.xml поддельных приложений намеренно добавлены бессмысленные разрешения, например «android.permission.LhSSzIw6q», что сбивает с толку анализирующие инструменты и способствует сокрытию реальных функций вредоносного кода.
Фальшивое банковское приложение, нацеленное на индийских пользователей, собирает персональные данные: полные имена, номера телефонов, адреса электронной почты, даты рождения, адреса проживания, номера кредитных карт и государственные идентификаторы; аналогичное социальное приложение, имитирующее платформу «X», похищает контакты, SMS-сообщения и фотографии у китайскоязычных пользователей.
Распространение вредоносного ПО осуществляется не через Google Play, а посредством ложных ссылок, распространяемых через мессенджеры, которые перенаправляют пользователей в неофициальные магазины приложений, обходя строгий контроль официальных платформ.
Зафиксированы следующие фейковые приложения на MAUI: X (pkPrIg.cljOBO), 迷城 (pCDhCg.cEOngl), X (pdhe3s.cXbDXZ), X (ppl74T.cgDdFK), Cupid (pommNC.csTgAT), X (pINUNU.cbb8AK), 私密相册 (pBOnCi.cUVNXz), X•GDN (pgkhe9.ckJo4P), 迷城 (pCDhCg.cEOngl), 小宇宙 (p9Z2Ej.cplkQv), X (pDxAtR.c9C6j7), 迷城 (pg92Li.cdbrQ7), 依恋 (pZQA70.cFzO30), 慢夜 (pAQPSN.CcF9N3), indus credit card (indus.credit.card) и Indusind Card (com.rewardz.card).
Использование C для реализации основных функций и хранение их в виде бинарных blob усложняет традиционный анализ вредоносного кода, позволяя зловредному программному обеспечению обходить стандартные механизмы обнаружения и оставаться незамеченным.
Система шифрования организует передачу похищенных данных на командно-управляющий сервер посредством зашифрованных сокетных соединений; пользовательские действия, такие как нажатие кнопок, незаметно активируют процессы кражи данных.
