Android恶意软件活动利用.NET MAUI逃避检测

admin 2025年3月26日15:56:13评论14 views字数 908阅读3分1秒阅读模式
Android恶意软件活动利用.NET MAUI逃避检测

迈克菲(McAfee)研究人员警告称,有安卓恶意软件活动正利用.NET MAUI框架逃避检测。这些威胁伪装成合法服务,窃取用户的敏感信息。

.NET MAUI(多平台应用UI)是微软推出的跨平台框架,开发者可通过C#语言构建原生移动和桌面应用。该框架支持单一代码库开发适配安卓、iOS、Windows和macOS的应用,在简化开发维护流程的同时,还提供具有平台特定集成功能的统一UI框架。其前身为Xamarin.Forms。

网络犯罪分子正在利用.NET MAUI开发安卓恶意软件,通过将核心功能隐藏在C#二进制Blob文件(而非传统的DEX文件)中来规避检测。

迈克菲研究人员详细分析了一款针对印度用户的虚假IndusInd银行应用,该程序通过隐藏的.NET MAUI恶意模块窃取个人及银行数据。

"与典型恶意软件不同,其Java或原生代码中不存在明显的恶意痕迹。"迈克菲发布的报告指出,"所有恶意代码都隐藏在assemblies目录下的Blob文件中。"被盗数据最终会传输至攻击者的C2服务器。

研究人员还发现另一款针对中文用户的恶意软件,通过第三方应用商店传播,可窃取联系人、短信和照片。该软件采用多阶段动态加载技术逃避检测:首先由AndroidManifest.xml中定义的主活动解密XOR加密文件并动态加载(第一阶段加载器);随后加载器解密AES加密文件并加载(第二阶段混淆层);最终解密的.NET MAUI框架文件执行核心恶意负载。

该恶意软件还通过以下手段增强隐蔽性:在AndroidManifest.xml中声明过量权限干扰分析;采用加密套接字通信隐藏数据外传;伪装成各类应用在非官方平台广泛分发。当用户与应用交互(如点击按钮)时,隐藏在C#代码中的恶意负载会悄无声息地窃取数据并上传至C2服务器。

研究人员指出,基于.NET MAUI的恶意软件正呈现增长趋势,其采用的Blob文件隐藏、多阶段加载、加密混淆等技术能长期规避检测。建议用户避免使用非官方应用商店、安装安全软件并保持系统更新。报告同时公布了相关威胁的入侵指标(IOCs)。

原文始发于微信公众号(黑猫安全):Android恶意软件活动利用.NET MAUI逃避检测

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月26日15:56:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Android恶意软件活动利用.NET MAUI逃避检测https://cn-sec.com/archives/3886694.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息