一项针对印度和中文用户的Android恶意软件活动利用微软的.NET MAUI框架制作假冒银行和社交媒体应用,窃取用户敏感信息。
网络安全研究人员正警示一项Android恶意软件活动,该活动利用微软的.NET多平台应用UI(.NET MAUI)框架,制作假冒银行和社交媒体应用,目标是印度和中文用户。
“这些威胁伪装成合法应用,针对用户窃取敏感信息。”McAfee Labs研究员Dexter Shin表示。
.NET MAUI是微软的跨平台桌面和移动应用框架,使用C#和XAML创建原生应用。它是Xamarin的进化版,具备通过单个项目创建多平台应用的能力,并在必要时加入特定平台的源代码。
值得注意的是,Xamarin的官方支持已于2024年5月1日结束,科技巨头敦促开发者迁移到.NET MAUI。
过去曾检测到使用Xamarin实现的Android恶意软件,而最新发展表明,威胁行为者正在通过使用.NET MAUI开发新恶意软件,不断调整和改进其战术。
“这些应用的核心功能完全用C#编写,并以二进制大对象形式存储,”Shin表示。“这意味着与传统Android应用不同,其功能不存在于DEX文件或原生库中。”
这为威胁行为者带来了新优势,因为.NET MAUI充当打包器,使恶意软件能够逃避检测,并在受害设备上长期存在。
基于.NET MAUI的Android应用,统称为FakeApp,及其关联的软件包名称如下:
-
X (pkPrIg.cljOBO) -
迷城 (pCDhCg.cEOngl) -
X (pdhe3s.cXbDXZ) -
X (ppl74T.cgDdFK) -
Cupid (pommNC.csTgAT) -
X (pINUNU.cbb8AK) -
私密相册 (pBOnCi.cUVNXz) -
X•GDN (pgkhe9.ckJo4P) -
迷城 (pCDhCg.cEOngl) -
小宇宙 (p9Z2Ej.cplkQv) -
X (pDxAtR.c9C6j7) -
迷城 (pg92Li.cdbrQ7) -
依恋 (pZQA70.cFzO30) -
慢夜 (pAQPSN.CcF9N3) -
indus credit card (indus.credit.card) -
Indusind Card (com.rewardz.card)
没有证据表明这些应用已分发至Google Play。相反,主要传播方式是诱骗用户点击通过消息应用发送的虚假链接,这些链接将毫无戒心的接收者重定向至非官方应用商店。
在McAfee强调的一个例子中,该应用伪装成印度金融机构,收集用户敏感信息,包括全名、手机号码、电子邮件地址、出生日期、住宅地址、信用卡号码和政府颁发的身份证件号码。
另一款应用则模仿社交媒体网站X,从受害设备窃取联系人、短信和照片。该应用主要通过第三方网站或替代应用商店,针对说中文的用户。
除了使用加密套接字通信将收集的数据传输至命令与控制(C2)服务器外,恶意软件被还观察到在AndroidManifest.xml文件中添加多个无意义权限(例如“android.permission.LhSSzIw6q”),试图破坏分析工具。
为保持不被检测,还使用了一种称为多级动态加载的技术,利用XOR加密的加载程序启动AES加密的有效载荷,后者又加载设计用于执行恶意软件的.NET MAUI程序集。
“主要有效载荷最终隐藏在C#代码中,”Shin表示。“当用户与应用交互,例如按下按钮时,恶意软件会悄悄窃取他们的数据并发送至C2服务器。”
转载请注明出处@安全威胁纵横,封面由ChatGPT生成;
消息来源:https://thehackernews.com/2025/03/hackers-use-net-maui-to-target-indian.html
更多网络安全视频,请关注视频号“知道创宇404实验室”
原文始发于微信公众号(安全威胁纵横):安卓恶意软件伪装成常用社交App,中印用户成主要目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论