Фальшивые приложения .NET MAUI

Злоумышленники разработали вредоносное Android-приложение, использующее MAUI для создания поддельных банковских и социальных сервисов, целясь на пользователей из Индии и китайскоязычного сегмента.
Фальшивые приложения .NET MAUI
Изображение носит иллюстративный характер

MAUI, являющаяся эволюцией Xamarin, позволяет разрабатывать приложения на C и XAML для различных платформ в рамках одного проекта; поддержка Xamarin завершилась 1 мая 2024 года, что стимулирует переход на новую платформу.

Эксперт Dexter Shin из McAfee Labs отметил: «Эти угрозы замаскированы под легитимные приложения и нацелены на кражу конфиденциальной информации». Основной вредоносный код реализован на C и хранится в виде бинарных blob, что существенно затрудняет обнаружение по сравнению с традиционными DEX-файлами или нативными библиотеками.

Многоступенчатая динамическая загрузка начинается с XOR-шифрованного загрузчика, который инициирует AES-шифрованную полезную нагрузку, способную запускать MAUI; такой подход обеспечивает долговременное присутствие вредоносного ПО на заражённом устройстве.

В AndroidManifest.xml поддельных приложений намеренно добавлены бессмысленные разрешения, например «android.permission.LhSSzIw6q», что сбивает с толку анализирующие инструменты и способствует сокрытию реальных функций вредоносного кода.

Фальшивое банковское приложение, нацеленное на индийских пользователей, собирает персональные данные: полные имена, номера телефонов, адреса электронной почты, даты рождения, адреса проживания, номера кредитных карт и государственные идентификаторы; аналогичное социальное приложение, имитирующее платформу «X», похищает контакты, SMS-сообщения и фотографии у китайскоязычных пользователей.

Распространение вредоносного ПО осуществляется не через Google Play, а посредством ложных ссылок, распространяемых через мессенджеры, которые перенаправляют пользователей в неофициальные магазины приложений, обходя строгий контроль официальных платформ.

Зафиксированы следующие фейковые приложения на MAUI: X (pkPrIg.cljOBO), 迷城 (pCDhCg.cEOngl), X (pdhe3s.cXbDXZ), X (ppl74T.cgDdFK), Cupid (pommNC.csTgAT), X (pINUNU.cbb8AK), 私密相册 (pBOnCi.cUVNXz), X•GDN (pgkhe9.ckJo4P), 迷城 (pCDhCg.cEOngl), 小宇宙 (p9Z2Ej.cplkQv), X (pDxAtR.c9C6j7), 迷城 (pg92Li.cdbrQ7), 依恋 (pZQA70.cFzO30), 慢夜 (pAQPSN.CcF9N3), indus credit card (indus.credit.card) и Indusind Card (com.rewardz.card).

Использование C для реализации основных функций и хранение их в виде бинарных blob усложняет традиционный анализ вредоносного кода, позволяя зловредному программному обеспечению обходить стандартные механизмы обнаружения и оставаться незамеченным.

Система шифрования организует передачу похищенных данных на командно-управляющий сервер посредством зашифрованных сокетных соединений; пользовательские действия, такие как нажатие кнопок, незаметно активируют процессы кражи данных.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка