Pesquisadores de cibersegurança estão chamando a atenção para uma campanha de malware para Android que explora o framework .NET Multi-platform App UI (.NET MAUI) da Microsoft para criar aplicativos falsos de bancos e redes sociais focando usuários que falam indiano e chinês.
"Essas ameaças se disfarçam como aplicativos legítimos, visando usuários para roubar informações sensíveis", disse Dexter Shin, pesquisador da McAfee Labs.
O .NET MAUI é o framework da Microsoft para aplicativos móveis e de desktop multiplataforma para criar aplicativos nativos usando C# e XAML.
Representa uma evolução do Xamarin, com capacidades adicionadas não apenas para criar apps multiplataforma usando um único projeto, mas também para incorporar código fonte específico da plataforma conforme necessário.
Vale ressaltar que o suporte oficial para Xamarin terminou em 1º de maio de 2024, com a gigante da tecnologia incentivando os desenvolvedores a migrarem para o .NET MAUI.
Embora malware para Android implementado usando Xamarin tenha sido detectado no passado, o último desenvolvimento indica que os atores de ameaças continuam a adaptar e refinar suas táticas desenvolvendo novos malwares usando .NET MAUI.
"Esses aplicativos têm suas funcionalidades centrais escritas inteiramente em C# e armazenadas como binários blob", disse Shin.
Isso significa que, ao contrário dos aplicativos Android tradicionais, suas funcionalidades não existem em arquivos DEX ou bibliotecas nativas. Isso dá uma nova vantagem aos atores de ameaças, já que o .NET MAUI age como um packer, permitindo que os artefatos maliciosos evadem a detecção e persistam nos dispositivos das vítimas por longos períodos de tempo.
Os aplicativos Android baseados em .NET MAUI, coletivamente chamados de FakeApp, e seus nomes de pacotes associados estão listados abaixo:
- X (pkPrIg.cljOBO)
- 迷城 (pCDhCg.cEOngl)
- X (pdhe3s.cXbDXZ)
- X (ppl74T.cgDdFK)
- Cupid (pommNC.csTgAT)
- X (pINUNU.cbb8AK)
- 私密相册 (pBOnCi.cUVNXz)
- X•GDN (pgkhe9.ckJo4P)
- 迷城 (pCDhCg.cEOngl)
- 小宇宙 (p9Z2Ej.cplkQv)
- X (pDxAtR.c9C6j7)
- 迷城 (pg92Li.cdbrQ7)
- 依恋 (pZQA70.cFzO30)
- 慢夜 (pAQPSN.CcF9N3)
- Indus credit card (indus.credit.card)
- Indusind Card (com.rewardz.card)
Não há evidências de que esses aplicativos estejam distribuídos no Google Play.
Ao contrário, o principal vetor de propagação envolve enganar usuários a clicarem em links falsos enviados via aplicativos de mensagens que redirecionam os destinatários desavisados para lojas de aplicativos não oficiais.
Em um exemplo destacado pela McAfee, o aplicativo se disfarça como uma instituição financeira indiana para coletar informações sensíveis dos usuários, incluindo nomes completos, números de celular, endereços de e-mail, datas de nascimento, endereços residenciais, números de cartão de crédito e identificadores emitidos pelo governo.
Outro aplicativo imita o site de redes sociais X para roubar contatos, mensagens SMS e fotos dos dispositivos das vítimas.
O aplicativo visa principalmente usuários que falam chinês através de sites de terceiros ou lojas de aplicativos alternativas.
Além de usar comunicação via soquete criptografado para transmitir dados colhidos para um servidor de comando e controle (C2), o malware foi observado incluindo várias permissões sem sentido no arquivo AndroidManifest.xml (por exemplo, "android.permission.LhSSzIw6q") em uma tentativa de quebrar ferramentas de análise.
Também é usado para permanecer não detectado uma técnica chamada carregamento dinâmico multi-estágio, que faz uso de um carregador criptografado XOR responsável por lançar um payload útil criptografada AES que, por sua vez, carrega assemblagens do .NET MAUI projetadas para executar o malware.
"O payload principal é definitivamente escondida dentro do código C#", disse Shin.
Quando o usuário interage com o aplicativo, como pressionando um botão, o malware silenciosamente rouba seus dados e os envia para o servidor C2.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...