Yeni Android kötü amaçlı yazılım kampanyaları, Microsoft'un platformlar arası çerçevesi .NET Maui'yi kullanırken, tespitten kaçınmak için meşru hizmetler olarak gizlenir.
Taktik, Android güvenliğini artırmaya adanmış uygulama savunma ittifakının bir üyesi olan McAfee'nin mobil araştırma ekibi tarafından gözlemlendi.
Uygulamalar McAfee Çin ve Hindistan'da hedef kullanıcıları gözlemlemesine rağmen, hedefleme kapsamı genişleyebileceğinden ve aynı taktik yakında diğer siber suçlular tarafından benimsenebilir.
2022'de piyasaya sürülen .NET Maui, Microsoft tarafından Xamarin'in yerini alarak hem masaüstü hem de mobil platformları destekleyen bir uygulama geliştirme çerçevesidir.
Tipik olarak, Android uygulamaları Java/Kotlin'de yazılır ve kodu DEX formatında saklar, ancak uygulamanın ikili blob dosyaları içinde depolanan mantığı ile C# 'da bir Android uygulaması oluşturmak için .NET maui'yi kullanmak teknik olarak mümkündür.
Çağdaş Android Güvenlik Araçları, DEX dosyalarını şüpheli mantık için taramak ve blob dosyalarını incelememek için tasarlanmıştır. Bu, tehdit aktörlerinin lekelerdeki kötü niyetli kodu gizlemelerini ve baypas algılamasını sağlar.
Bu yaklaşım, günümüzde çoğu Android kötü amaçlı yazılımla standart taktik olan güncellemeler yoluyla yükleme sonrası kötü amaçlı kod almaktan daha tercih edilir.
Bu durumda, taktik etkilidir, çünkü Android'deki C#tabanlı uygulamalar ve blob dosyaları belirsizdir.
.NET Maui'yi kullanmanın yanı sıra, McAffee tarafından gözlemlenen kampanyalar çok katmanlı şifreleme (XOR + AES) ve aşamalı yürütme, 'Androidmanifest.xml' dosya rastgele oluşturulan dizelerle şişkinlik ve komut ve kontrol (C2) iletişimleri için TCP soketi kullanıyor.
McAfee, "Bu kaçırma teknikleriyle, tehditler uzun süre gizli kalabilir, analiz ve tespiti önemli ölçüde daha zor hale getirebilir."
"Ayrıca, aynı çekirdek teknikleri kullanarak çoklu varyantların keşfi, bu tür kötü amaçlı yazılımların giderek yaygınlaştığını göstermektedir."
McAfee, sahte bankacılık, iletişim, randevu ve X gibi sosyal medya uygulamaları da dahil olmak üzere .NET Maui tekniğini kullanarak kampanyaların bir parçası olarak raporunda birkaç APKS keşfetti.
Araştırmacılar, Android'in resmi uygulama mağazası olan Google Play dışında dağıtılan IndusInd ve SNS örnek olarak iki uygulama kullandılar.
McAfee, "Google Play Store'a erişimin kısıtlandığı Çin'de, bu tür uygulamalar genellikle üçüncü taraf web siteleri veya alternatif uygulama mağazaları aracılığıyla dağıtılıyor."
"Bu, saldırganların, özellikle resmi uygulama mağazalarına sınırlı erişimi olan bölgelerde kötü amaçlı yazılımlarını daha kolay yaymalarını sağlar."
İlk durumda, uygulama bir Hint bankasını taklit eder, kullanıcıları duyarlı kişisel ve finansal bilgileri girmeye ve C2 sunucusuna ekspiltrat eder.
Çince konuşan kullanıcıları hedefleyen SNS uygulama durumunda, uygulama iletişim listelerini, SMS mesajlarını ve cihazda saklanan fotoğrafları çalmaya çalışır.
Bu kaçamaklı kötü amaçlı yazılım uygulamaları tarafından enfeksiyon riskini en aza indirmek için, üçüncü taraf uygulama mağazalarından veya belirsiz web sitelerinden Android APK'ları indirmekten kaçının ve SMS veya e-posta yoluyla alınan bağlantıları tıklamaktan kaçının.
Google Play'in kullanılamadığı bölgelerdeyseniz, kötü amaçlı işaretler için APK'ları tarayın ve bunları yalnızca güvenilir sitelerden yükleyin.
Google Play Protect, en son kampanyaların bir parçası olarak tanımlanan APKS McAfee'yi algılayabilir ve engelleyebilir, bu nedenle cihazınızda etkin olduğundan emin olun.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
Google Play'de Kötü Alan Android 'Vapor' uygulamaları 60 milyon kez yüklendi
Spylend Android kötü amaçlı yazılım Google Play'den 100.000 kez indirildi
Apple App Store'da ilk kez bulunan kripto yazma uygulamaları
Yeni Kuzey Koreli Android casus yazılım Google Play'e kayıyor
Badbox kötü amaçlı yazılım 500K enfekte Android cihazlarda bozuldu
Kaynak: Bleeping Computer