Android恶意软件活动利用.NET MAUI逃避检测

迈克菲（McAfee）研究人员警告称，有安卓恶意软件活动正利用.NET MAUI框架逃避检测。这些威胁伪装成合法服务，窃取用户的敏感信息。

.NET MAUI（多平台应用UI）是微软推出的跨平台框架，开发者可通过C#语言构建原生移动和桌面应用。该框架支持单一代码库开发适配安卓、iOS、Windows和macOS的应用，在简化开发维护流程的同时，还提供具有平台特定集成功能的统一UI框架。其前身为Xamarin.Forms。

网络犯罪分子正在利用.NET MAUI开发安卓恶意软件，通过将核心功能隐藏在C#二进制Blob文件（而非传统的DEX文件）中来规避检测。

迈克菲研究人员详细分析了一款针对印度用户的虚假IndusInd银行应用，该程序通过隐藏的.NET MAUI恶意模块窃取个人及银行数据。

"与典型恶意软件不同，其Java或原生代码中不存在明显的恶意痕迹。"迈克菲发布的报告指出，"所有恶意代码都隐藏在assemblies目录下的Blob文件中。"被盗数据最终会传输至攻击者的C2服务器。

研究人员还发现另一款针对中文用户的恶意软件，通过第三方应用商店传播，可窃取联系人、短信和照片。该软件采用多阶段动态加载技术逃避检测：首先由AndroidManifest.xml中定义的主活动解密XOR加密文件并动态加载（第一阶段加载器）；随后加载器解密AES加密文件并加载（第二阶段混淆层）；最终解密的.NET MAUI框架文件执行核心恶意负载。

该恶意软件还通过以下手段增强隐蔽性：在AndroidManifest.xml中声明过量权限干扰分析；采用加密套接字通信隐藏数据外传；伪装成各类应用在非官方平台广泛分发。当用户与应用交互（如点击按钮）时，隐藏在C#代码中的恶意负载会悄无声息地窃取数据并上传至C2服务器。

研究人员指出，基于.NET MAUI的恶意软件正呈现增长趋势，其采用的Blob文件隐藏、多阶段加载、加密混淆等技术能长期规避检测。建议用户避免使用非官方应用商店、安装安全软件并保持系统更新。报告同时公布了相关威胁的入侵指标（IOCs）。

原文始发于微信公众号（黑猫安全）：Android恶意软件活动利用.NET MAUI逃避检测