安卓恶意软件伪装成常用社交App,中印用户成主要目标

admin 2025年3月26日19:25:20评论24 views字数 1576阅读5分15秒阅读模式

一项针对印度和中文用户的Android恶意软件活动利用微软的.NET MAUI框架制作假冒银行和社交媒体应用,窃取用户敏感信息。

安卓恶意软件伪装成常用社交App,中印用户成主要目标

网络安全研究人员正警示一项Android恶意软件活动,该活动利用微软的.NET多平台应用UI(.NET MAUI)框架,制作假冒银行和社交媒体应用,目标是印度和中文用户

“这些威胁伪装成合法应用,针对用户窃取敏感信息。”McAfee Labs研究员Dexter Shin表示。

.NET MAUI是微软的跨平台桌面和移动应用框架,使用C#和XAML创建原生应用。它是Xamarin的进化版,具备通过单个项目创建多平台应用的能力,并在必要时加入特定平台的源代码。

值得注意的是,Xamarin的官方支持已于2024年5月1日结束,科技巨头敦促开发者迁移到.NET MAUI。

过去曾检测到使用Xamarin实现的Android恶意软件,而最新发展表明,威胁行为者正在通过使用.NET MAUI开发新恶意软件,不断调整和改进其战术。

“这些应用的核心功能完全用C#编写,并以二进制大对象形式存储,”Shin表示。“这意味着与传统Android应用不同,其功能不存在于DEX文件或原生库中。”

这为威胁行为者带来了新优势,因为.NET MAUI充当打包器,使恶意软件能够逃避检测,并在受害设备上长期存在

基于.NET MAUI的Android应用,统称为FakeApp,及其关联的软件包名称如下:

安卓恶意软件伪装成常用社交App,中印用户成主要目标
  • X (pkPrIg.cljOBO)
  • 迷城 (pCDhCg.cEOngl)
  • X (pdhe3s.cXbDXZ)
  • X (ppl74T.cgDdFK)
  • Cupid (pommNC.csTgAT)
  • X (pINUNU.cbb8AK)
  • 私密相册 (pBOnCi.cUVNXz)
  • X•GDN (pgkhe9.ckJo4P)
  • 迷城 (pCDhCg.cEOngl)
  • 小宇宙 (p9Z2Ej.cplkQv)
  • X (pDxAtR.c9C6j7)
  • 迷城 (pg92Li.cdbrQ7)
  • 依恋 (pZQA70.cFzO30)
  • 慢夜 (pAQPSN.CcF9N3)
  • indus credit card (indus.credit.card)
  • Indusind Card (com.rewardz.card)

没有证据表明这些应用已分发至Google Play。相反,主要传播方式是诱骗用户点击通过消息应用发送的虚假链接,这些链接将毫无戒心的接收者重定向至非官方应用商店。

在McAfee强调的一个例子中,该应用伪装成印度金融机构,收集用户敏感信息,包括全名、手机号码、电子邮件地址、出生日期、住宅地址、信用卡号码和政府颁发的身份证件号码。

另一款应用则模仿社交媒体网站X,从受害设备窃取联系人、短信和照片。该应用主要通过第三方网站或替代应用商店,针对说中文的用户。

除了使用加密套接字通信将收集的数据传输至命令与控制(C2)服务器外,恶意软件被还观察到在AndroidManifest.xml文件中添加多个无意义权限(例如“android.permission.LhSSzIw6q”),试图破坏分析工具。

为保持不被检测,还使用了一种称为多级动态加载的技术,利用XOR加密的加载程序启动AES加密的有效载荷,后者又加载设计用于执行恶意软件的.NET MAUI程序集。

“主要有效载荷最终隐藏在C#代码中,”Shin表示。“当用户与应用交互,例如按下按钮时,恶意软件会悄悄窃取他们的数据并发送至C2服务器。”

转载请注明出处@安全威胁纵横,封面由ChatGPT生成;

消息来源:https://thehackernews.com/2025/03/hackers-use-net-maui-to-target-indian.html

    更多网络安全视频,请关注视频号“知道创宇404实验室”

原文始发于微信公众号(安全威胁纵横):安卓恶意软件伪装成常用社交App,中印用户成主要目标

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月26日19:25:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安卓恶意软件伪装成常用社交App,中印用户成主要目标https://cn-sec.com/archives/3887108.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息