25 mars 2025Ravie LakshmananSécurité mobile / vol de données

Les chercheurs en cybersécurité attirent l’attention sur une campagne de logiciels malveillants Android qui tire parti du cadre de l’interface utilisateur de l’application multi-plateforme de Microsoft.

“Ces menaces se déguisent en applications légitimes, ciblant les utilisateurs pour voler des informations sensibles”, a déclaré Dexter Shin, chercheur de McAfee Labs, Dexter Shin dit.

.Net Maui est Microsoft Framework de bureau et d’applications mobiles multiplateformes Pour créer des applications natives à l’aide de C # et XAML. Il représente une évolution de Xamarin, avec des capacités supplémentaires pour non seulement créer des applications multiplateformes à l’aide d’un seul projet, mais également incorporer le code source spécifique à la plate-forme en tant que nécessaire.

Il convient de noter que le soutien officiel pour Xamarin terminé le 1er mai 2024le géant de la technologie exhortant les développeurs à migrer vers .net Maui.

Cybersécurité

Bien que les logiciels malveillants Android implémentés à l’aide de Xamarin aient été détectés dans le passé, les derniers signaux de développement selon lesquels les acteurs de la menace continuent d’adapter et d’affiner leurs tactiques en développant de nouveaux logiciels malveillants en utilisant .NET MAUI.

“Ces applications ont leurs fonctionnalités fondamentales entièrement écrites en C # et stockées en binaires blob”, a déclaré Shin. “Cela signifie que contrairement aux applications Android traditionnelles, leurs fonctionnalités n’existent pas dans les fichiers DEX ou les bibliothèques natives.”

Cela donne un nouvel avantage pour menacer les acteurs dans la mesure où .net Maui agit comme un packer, permettant aux artefacts malveillants d’échapper à la détection et de persister sur des dispositifs de victime pendant de longues périodes.

Les applications Android basées sur .NET MAUI, collectivement nommé FakeApp, et leurs noms de packages associés sont répertoriés ci-dessous –

Fausses banques, applications sociales
  • X (pkprig.cljobo)
  • 迷城 (pcdhcg.ceongl)
  • X (pdhe3s.cxbdxz)
  • X (ppl74t.cgddfk)
  • Cupidon (pomnc.cstgat)
  • X (pinunu.cbb8ak)
  • 私密相册 (pbonci.cuvnxz)
  • X • gdn (pgkhe9.ckjo4p)
  • 迷城 (pcdhcg.ceongl)
  • 小宇宙 (p9z2ej.cplkqv)
  • X (pdxatr.c9c6j7)
  • 迷城 (pg92li.cdbrq7)
  • 依恋 (pzqa70.cfzo30)
  • 慢夜 (paqpsn.ccf9n3)
  • carte de crédit de l’Indus (Indus.Credit.card)
  • Card IndusInd (com.rewardz.card)

Il n’y a aucune preuve que ces applications soient distribuées à Google Play. Au contraire, le principal vecteur de propagation implique de inciter les utilisateurs à cliquer sur des liens de faux envoyés via des applications de messagerie qui redirigent les destinataires involontaires vers des magasins d’applications non officiels.

Cybersécurité

Dans un exemple mis en évidence par McAfee, l’application se masque en tant qu’institution financière indienne pour recueillir les informations sensibles des utilisateurs, y compris les noms complets, les numéros mobiles, les adresses e-mail, les dates de naissance, les adresses résidentielles, les numéros de carte de crédit et les identificateurs émis par le gouvernement.

Une autre application imite le site de médias sociaux X pour voler des contacts, des messages SMS et des photos des appareils victimes. L’application cible principalement les utilisateurs chinois via des sites Web tiers ou des magasins d’applications alternatifs.

En plus d’utiliser la communication de socket chiffrée pour transmettre des données récoltées à un serveur de commande et de contrôle (C2), le malware a été observé, notamment plusieurs autorisations sans signification au fichier AndroidManifest.xml (par exemple, “Android.Permission.lhssziw6q”) dans le but de rompre les outils d’analyse.

Une technique appelée chargement dynamique multi-étages, qui utilise un chargeur encntouté XOR, est également utilisé, qui utilise un chargeur inscripté par XOR responsable du lancement d’une charge utile cryptée AES qui, à son tour, charge des assemblées Maui .NET conçues pour exécuter les logiciels malveillants.

“La charge utile principale est finalement cachée dans le code C #”, a déclaré Shin. “Lorsque l’utilisateur interagit avec l’application, comme appuyer sur un bouton, le malware vole silencieusement leurs données et l’envoie au serveur C2.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57