Фальшивые приложения .NET MAUI

Злоумышленники разработали вредоносное Android-приложение, использующее MAUI для создания поддельных банковских и социальных сервисов, целясь на пользователей из Индии и китайскоязычного сегмента.
Фальшивые приложения .NET MAUI
Изображение носит иллюстративный характер

MAUI, являющаяся эволюцией Xamarin, позволяет разрабатывать приложения на C и XAML для различных платформ в рамках одного проекта; поддержка Xamarin завершилась 1 мая 2024 года, что стимулирует переход на новую платформу.

Эксперт Dexter Shin из McAfee Labs отметил: «Эти угрозы замаскированы под легитимные приложения и нацелены на кражу конфиденциальной информации». Основной вредоносный код реализован на C и хранится в виде бинарных blob, что существенно затрудняет обнаружение по сравнению с традиционными DEX-файлами или нативными библиотеками.

Многоступенчатая динамическая загрузка начинается с XOR-шифрованного загрузчика, который инициирует AES-шифрованную полезную нагрузку, способную запускать MAUI; такой подход обеспечивает долговременное присутствие вредоносного ПО на заражённом устройстве.

В AndroidManifest.xml поддельных приложений намеренно добавлены бессмысленные разрешения, например «android.permission.LhSSzIw6q», что сбивает с толку анализирующие инструменты и способствует сокрытию реальных функций вредоносного кода.

Фальшивое банковское приложение, нацеленное на индийских пользователей, собирает персональные данные: полные имена, номера телефонов, адреса электронной почты, даты рождения, адреса проживания, номера кредитных карт и государственные идентификаторы; аналогичное социальное приложение, имитирующее платформу «X», похищает контакты, SMS-сообщения и фотографии у китайскоязычных пользователей.

Распространение вредоносного ПО осуществляется не через Google Play, а посредством ложных ссылок, распространяемых через мессенджеры, которые перенаправляют пользователей в неофициальные магазины приложений, обходя строгий контроль официальных платформ.

Зафиксированы следующие фейковые приложения на MAUI: X (pkPrIg.cljOBO), 迷城 (pCDhCg.cEOngl), X (pdhe3s.cXbDXZ), X (ppl74T.cgDdFK), Cupid (pommNC.csTgAT), X (pINUNU.cbb8AK), 私密相册 (pBOnCi.cUVNXz), X•GDN (pgkhe9.ckJo4P), 迷城 (pCDhCg.cEOngl), 小宇宙 (p9Z2Ej.cplkQv), X (pDxAtR.c9C6j7), 迷城 (pg92Li.cdbrQ7), 依恋 (pZQA70.cFzO30), 慢夜 (pAQPSN.CcF9N3), indus credit card (indus.credit.card) и Indusind Card (com.rewardz.card).

Использование C для реализации основных функций и хранение их в виде бинарных blob усложняет традиционный анализ вредоносного кода, позволяя зловредному программному обеспечению обходить стандартные механизмы обнаружения и оставаться незамеченным.

Система шифрования организует передачу похищенных данных на командно-управляющий сервер посредством зашифрованных сокетных соединений; пользовательские действия, такие как нажатие кнопок, незаметно активируют процессы кражи данных.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка