HackerNews 编译,转载请注明出处:
网络安全研究人员正警示一项Android恶意软件活动,该活动利用微软的.NET多平台应用UI(.NET MAUI)框架,制作假冒银行和社交媒体应用,目标是印度和说中文的用户。
“这些威胁伪装成合法应用,针对用户窃取敏感信息,”McAfee Labs研究员Dexter Shin表示。
.NET MAUI是微软的跨平台桌面和移动应用框架,使用C#和XAML创建原生应用。它是Xamarin的进化版,具备通过单个项目创建多平台应用的能力,并在必要时加入特定平台的源代码。
值得注意的是,Xamarin的官方支持已于2024年5月1日结束,科技巨头敦促开发者迁移到.NET MAUI。
过去曾检测到使用Xamarin实现的Android恶意软件,而最新发展表明,威胁行为者正在通过使用.NET MAUI开发新恶意软件,不断调整和改进其战术。
“这些应用的核心功能完全用C#编写,并以二进制大对象形式存储,”Shin表示。“这意味着与传统Android应用不同,其功能不存在于DEX文件或原生库中。”
这为威胁行为者带来了新优势,因为.NET MAUI充当打包器,使恶意软件能够逃避检测,并在受害设备上长期存在。
基于.NET MAUI的Android应用,统称为FakeApp,及其关联的软件包名称如下:
- X (pkPrIg.cljOBO)迷城 (pCDhCg.cEOngl)X (pdhe3s.cXbDXZ)X (ppl74T.cgDdFK)Cupid (pommNC.csTgAT)X (pINUNU.cbb8AK)私密相册 (pBOnCi.cUVNXz)X•GDN (pgkhe9.ckJo4P)迷城 (pCDhCg.cEOngl)小宇宙 (p9Z2Ej.cplkQv)X (pDxAtR.c9C6j7)迷城 (pg92Li.cdbrQ7)依恋 (pZQA70.cFzO30)慢夜 (pAQPSN.CcF9N3)indus credit card (indus.credit.card)Indusind Card (com.rewardz.card)
没有证据表明这些应用已分发至Google Play。相反,主要传播方式是诱骗用户点击通过消息应用发送的虚假链接,这些链接将毫无戒心的接收者重定向至非官方应用商店。
在McAfee强调的一个例子中,该应用伪装成印度金融机构,收集用户敏感信息,包括全名、手机号码、电子邮件地址、出生日期、住宅地址、信用卡号码和政府颁发的身份证件号码。
另一款应用则模仿社交媒体网站X,从受害设备窃取联系人、短信和照片。该应用主要通过第三方网站或替代应用商店,针对说中文的用户。
除了使用加密套接字通信将收集的数据传输至命令与控制(C2)服务器外,恶意软件被还观察到在AndroidManifest.xml文件中添加多个无意义权限(例如“android.permission.LhSSzIw6q”),试图破坏分析工具。
为保持不被检测,还使用了一种称为多级动态加载的技术,利用XOR加密的加载程序启动AES加密的有效载荷,后者又加载设计用于执行恶意软件的.NET MAUI程序集。
“主要有效载荷最终隐藏在C#代码中,”Shin表示。“当用户与应用交互,例如按下按钮时,恶意软件会悄悄窃取他们的数据并发送至C2服务器。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
