.NET MAUI Gefälschte Android-Apps

Von Mezo in Mobile Malware

Übersetzen Sie in:

Cybersicherheitsexperten haben eine neue Android-Malware-Kampagne aufgedeckt, die Microsofts .NET Multi-Platform App UI (.NET MAUI) Framework ausnutzt. Getarnt als Banking- und Social-Media-Anwendungen zielen diese bedrohlichen Anwendungen vor allem auf indisch- und chinesischsprachige Nutzer ab und zielen darauf ab, vertrauliche Informationen zu sammeln.

Inhaltsverzeichnis

Was ist .NET MAUI und warum wird es verwendet?

.NET MAUI ist Microsofts plattformübergreifendes Framework für die Entwicklung nativer Anwendungen mit C# und XAML. Es ist eine Weiterentwicklung von Xamarin und bietet Entwicklern eine optimierte Möglichkeit, plattformübergreifende Anwendungen mit einem einzigen Projekt zu erstellen und gleichzeitig bei Bedarf plattformspezifischen Code zu ermöglichen.

Microsoft hat den Support für Xamarin am 1. Mai 2024 offiziell eingestellt und Entwickler zum Umstieg auf .NET MAUI ermutigt. Bedrohungsakteure haben sich schnell angepasst und nutzen dieses Framework zur Entwicklung neuer Android-Malware. Damit setzen sie ihren Trend fort, ihre Angriffsmethoden zu verfeinern und weiterzuentwickeln.

Wie .NET MAUI dabei hilft, Malware vor der Erkennung zu schützen

Im Gegensatz zu herkömmlichen Android-Anwendungen, die auf DEX-Dateien und nativen Bibliotheken basieren, speichert die .NET MAUI-basierte Malware ihre Kernfunktionen in C#-Blob-Binärdateien. Dies erschwert die Erkennung, da das Framework als Packer fungiert und die Malware unentdeckt auf den Geräten der Opfer verbleibt.

Durch die Nutzung von .NET MAUI erzielen Cyberkriminelle mehrere Vorteile:

Stealth-Modus : Der beschädigte Code wird in C#-Binärdateien versteckt, was die Analyse erschwert.
Längere Persistenz : Die Malware verbleibt länger auf infizierten Geräten, ohne Sicherheitswarnungen auszulösen.
Umgehungstaktiken : Die unkonventionelle Architektur ermöglicht das Umgehen herkömmlicher Sicherheitsscans.

Gefälschte Banking- und Social-Media-Anwendungen identifiziert

Forscher haben mehrere betrügerische Apps identifiziert, die .NET MAUI verwenden und zusammen als FakeApp bezeichnet werden. Zu den bekanntesten gefälschten Anwendungen gehören:

Gefälschte Banking-Anwendungen:

Indus-Kreditkarte (indus.credit.card)

Indusind-Karte (com.rewardz.card)

Gefälschte Social Media- und Utility-Anwendungen:

Amor (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Privates Album) (pBOnCi.cUVNXz)

小宇宙 (Kleines Universum) (p9Z2Ej.cplkQv)

Diese Anwendungen verleiten Benutzer dazu, sie zu installieren, und extrahieren und übertragen dann im Hintergrund ihre persönlichen Daten an einen vom Angreifer kontrollierten Server.

Wie Benutzer ausgetrickst werden

Im Gegensatz zu legitimen Anwendungen, die über Google Play vertrieben werden, setzen diese gefälschten Anwendungen auf irreführende Taktiken. Angreifer versenden betrügerische Links über Messaging-Anwendungen, die Benutzer zu inoffiziellen App-Stores führen, wo sie unwissentlich die Malware herunterladen.

Zum Beispiel:

Eine gefälschte Banking-Anwendung gibt sich als indisches Finanzinstitut aus, um die vollständigen Namen, Mobiltelefonnummern, Kreditkartendaten und amtlichen Ausweise der Benutzer zu stehlen.
Eine betrügerische Social-Media-App, die „X“ (früher Twitter) imitiert, sammelt Kontakte, SMS-Nachrichten und Fotos und zielt auf chinesischsprachige Benutzer ab.

Die verwendeten fortgeschrittenen Ausweichtechniken

Um eine Erkennung zu vermeiden, verwendet die Malware mehrere ausgeklügelte Techniken:

Verschlüsselte Datenübertragung : Die erfassten Daten werden über eine verschlüsselte Socket-Kommunikation an einen Command-and-Control-Server (C2) gesendet.
Gefälschte Berechtigungen : Die Malware fügt bedeutungslose Berechtigungen (z. B. „android.permission.LhSSzIw6q“) in die Datei AndroidManifest.xml ein, um Analysetools zu verwirren.
Mehrstufiges dynamisches Laden : Es nutzt einen XOR-verschlüsselten Loader, um eine AES-verschlüsselte Nutzlast zu starten, die dann die .NET MAUI-Assemblys lädt, die die eigentliche Malware enthalten.
Benutzerinteraktion löst schädliche Aktionen aus : Die Kernnutzlast bleibt im C#-Code verborgen und wird nur aktiviert, wenn der Benutzer mit der App interagiert (z. B. durch Drücken einer Taste). An diesem Punkt stiehlt sie unbemerkt Daten und überträgt sie an den C2-Server.

So bleiben Sie sicher

Angesichts der zunehmenden Raffinesse dieser Angriffe sollten Benutzer proaktive Schritte zu ihrem Schutz unternehmen:

Vermeiden Sie App Stores von Drittanbietern – Laden Sie Anwendungen nur von Google Play oder vertrauenswürdigen Quellen herunter.
Überprüfen Sie die Anwendungsberechtigungen – Seien Sie vorsichtig bei Anwendungen, die unnötige Berechtigungen anfordern.
Achten Sie auf Phishing-Links – Klicken Sie nicht auf verdächtige Links in Nachrichten.
Verwenden Sie Anti-Malware-Software – Installieren Sie eine zuverlässige mobile Sicherheitslösung, um potenzielle Bedrohungen zu erkennen und zu entfernen.

Da Cyberkriminelle ihre Taktiken ständig weiterentwickeln, ist es die beste Verteidigung gegen diese neuen Bedrohungen, informiert zu bleiben und vorsichtig zu sein.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern

.NET MAUI Gefälschte Android-Apps

Was ist .NET MAUI und warum wird es verwendet?

Wie .NET MAUI dabei hilft, Malware vor der Erkennung zu schützen

Gefälschte Banking- und Social-Media-Anwendungen identifiziert

Wie Benutzer ausgetrickst werden

Die verwendeten fortgeschrittenen Ausweichtechniken

So bleiben Sie sicher

Kommentar abgeben

Im Trend

Behavior:Win64/Shaolaod.A Malware

Mail Cloud Server E-Mail-Betrug

Sicherheitslücke CVE-2025-24201

Am häufigsten gesehen

Discord steckt auf grauem Bildschirm fest

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...