研究人员警示称，出现了一种新的Android 恶意软件，它利用.NET MAUI 框架来模仿合法服务并逃避检测。

McAfee 的研究人员对使用.NET MAUI 框架来逃避检测的Android 恶意软件攻击活动发出了警告。这些威胁将自身伪装成合法服务，以从用户那里窃取敏感信息。

.NET MAUI（多平台应用程序用户界面）是微软推出的一个跨平台框架，用于使用 C# 语言构建原生移动和桌面应用程序。它使开发者能够从单一代码库创建可在Android 、iOS、Windows 和 macOS 系统上运行的应用程序，简化了开发和维护过程。它取代了 Xamarin.Forms，并提供了一个具有特定平台集成功能的统一用户界面框架。

网络犯罪分子正在利用.NET MAUI 框架来创建Android 恶意软件，这些恶意软件通过将核心功能隐藏在 C# 二进制对象文件（blob binaries）中，而非传统的 DEX 文件中，从而逃避检测。

McAfee 的研究人员详细介绍了一款针对印度用户的虚假印度工业信贷投资银行（IndusInd Bank）应用程序，该程序通过隐藏的恶意.NET MAUI 有效载荷来窃取个人和银行数据。

McAfee 发布的报告中写道：“与典型的恶意应用程序不同，在 Java 代码或原生代码中没有明显的有害代码痕迹。相反，恶意代码隐藏在程序集目录内的二进制对象文件中。”

然后，收集到的数据会被发送到攻击者的命令与控制（C2）服务器。

专家们观察到的另一种恶意软件则针对说中文的用户，通过第三方应用商店窃取联系人信息、短信和照片。它使用多阶段动态加载的方式逃避检测，分三步对其恶意有效载荷进行加密和加载。

该恶意软件还会操控Android 系统的 AndroidManifest.xml 文件，获取过多权限以干扰分析，并使用加密的套接字通信来隐藏窃取的数据。它伪装成各种应用程序，在非官方的应用平台上广泛传播。

报告继续指出：“在第一阶段，在 AndroidManifest.xml 文件中定义的应用程序的主活动会对一个经过异或（XOR）加密的文件进行解密，并动态加载它。这个初始文件充当了下一阶段的加载器。在第二阶段，动态加载的文件会对另一个经过高级加密标准（AES）加密的文件进行解密并加载。这一阶段仍然不会暴露核心恶意行为，而是充当了又一层混淆手段。最后，在第三阶段，解密后的文件包含与.NET MAUI 框架相关的代码，然后这些代码会被加载以执行主有效载荷。” “主有效载荷最终隐藏在 C# 代码中。当用户与该应用程序进行交互时，比如按下一个按钮，恶意软件就会在用户毫无察觉的情况下窃取他们的数据，并将其发送到命令与控制（C2）服务器。”

网络犯罪分子越来越多地使用基于.NET MAUI 框架的恶意软件，通过隐藏代码对象文件、多阶段加载、加密和混淆等技术来逃避检测。研究人员指出，这些威胁可能会在很长一段时间内不被发现，而且它们越来越普遍，这表明此类威胁正变得越来越常见。用户应避免使用非官方的应用程序来源，使用安全软件，并及时更新软件，以防范不断演变的网络威胁。