Peneliti cybersecurity meminta perhatian pada kampanye malware Android yang memanfaatkan kerangka kerja .NET multi-platform aplikasi UI (.NET Maui) Microsoft untuk membuat aplikasi perbankan palsu dan media sosial yang menargetkan pengguna berbahasa India dan Cina.
“Ancaman -ancaman ini menyamarkan diri sebagai aplikasi yang sah, menargetkan pengguna untuk mencuri informasi sensitif,” kata peneliti McAfee Labs Dexter Shin.
.NET Maui adalah kerangka kerja desktop lintas platform dan seluler Microsoft untuk membuat aplikasi asli menggunakan C# dan XAML. Ini mewakili evolusi xamarin, dengan kemampuan tambahan untuk tidak hanya membuat aplikasi multi-platform menggunakan satu proyek, tetapi juga menggabungkan kode sumber spesifik platform sebagaimana dan bila perlu.
Perlu dicatat bahwa dukungan resmi untuk Xamarin berakhir pada 1 Mei 2024, dengan raksasa teknologi mendesak pengembang untuk bermigrasi ke .NET Maui.
Sementara malware Android diimplementasikan menggunakan Xamarin telah terdeteksi di masa lalu, sinyal pengembangan terbaru bahwa aktor ancaman terus beradaptasi dan memperbaiki taktik mereka dengan mengembangkan malware baru menggunakan .NET Maui.
“Aplikasi ini memiliki fungsionalitas inti yang ditulis sepenuhnya dalam C# dan disimpan sebagai biner gumpalan,” kata Shin. “Ini berarti bahwa tidak seperti aplikasi Android tradisional, fungsinya tidak ada di file DEX atau perpustakaan asli.”
Ini memberikan keuntungan baru bagi para aktor ancaman di .NET Maui bertindak sebagai pengepakan, yang memungkinkan artefak jahat untuk menghindari deteksi dan bertahan pada perangkat korban untuk waktu yang lama.
Aplikasi Android yang berbasis.
- X (pkprig.cljobo)
- 迷城 (pcdhcg.ceongl)
- X (pdhe3s.cxbdxz)
- X (ppl74t.cgddfk)
- Cupid (pommnc.cstgat)
- X (pinunu.cbb8ak)
- 私密相册 (pbonci.cuvnxz)
- X • GDN (pgkhe9.ckjo4p)
- 迷城 (pcdhcg.ceongl)
- 小宇宙 (p9z2ej.cplkqv)
- X (pdxatr.c9c6j7)
- 迷城 (pg92li.cdbrq7)
- 依恋 (pzqa70.cfzo30)
- 慢夜 (paqpsn.ccf9n3)
- Kartu Kredit Indus (Indus.Credit.Card)
- Kartu Indusind (com.rewardz.card)
Tidak ada bukti bahwa aplikasi ini didistribusikan ke Google Play. Sebaliknya, vektor propagasi utama melibatkan penipu pengguna untuk mengklik tautan palsu yang dikirim melalui aplikasi pesan yang mengarahkan penerima yang tidak disadari ke toko aplikasi tidak resmi.
Dalam satu contoh yang disorot oleh McAfee, aplikasi menyamar sebagai lembaga keuangan India untuk mengumpulkan informasi sensitif pengguna, termasuk nama lengkap, nomor ponsel, alamat email, tanggal kelahiran, alamat tempat tinggal, nomor kartu kredit, dan pengidentifikasi yang dikeluarkan pemerintah.
Aplikasi lain meniru situs media sosial X untuk mencuri kontak, pesan SMS, dan foto dari perangkat korban. Aplikasi ini terutama menargetkan pengguna berbahasa Cina melalui situs web pihak ketiga atau toko aplikasi alternatif.
Selain menggunakan komunikasi soket terenkripsi untuk mengirimkan data yang dipanen ke server perintah-dan-kontrol (C2), malware telah diamati termasuk beberapa izin yang tidak berarti untuk file androidmanifest.xml (misalnya, “android.permission.lhssziw6q”) dalam upaya untuk memecahkan alat analisis.
Juga digunakan untuk tetap tidak terdeteksi adalah teknik yang disebut Multi-Stage Dynamic Loading, yang memanfaatkan loader terenkripsi XOR yang bertanggung jawab untuk meluncurkan payload terenkripsi AES yang, pada gilirannya, memuat rakitan .NET MAUI yang dirancang untuk menjalankan malware.
“Muatan utama pada akhirnya disembunyikan dalam kode C#,” kata Shin. “Ketika pengguna berinteraksi dengan aplikasi, seperti menekan tombol, malware diam -diam mencuri data mereka dan mengirimkannya ke server C2.”
