Siber güvenlik araştırmacıları, Hintli ve Çince konuşan kullanıcıları hedefleyen sahte bankacılık ve sosyal medya uygulamaları oluşturmak için Microsoft’un .NET Multi-Platform Uygulama UI (.NET Maui) çerçevesini kullanan bir Android kötü amaçlı yazılım kampanyasına dikkat çekiyor.
McAfee Labs araştırmacısı Dexter Shin, “Bu tehditler kendilerini meşru uygulamalar olarak gizliyor, kullanıcıları hassas bilgiler çalmayı hedefliyor.” Dedi.
.NET Maui, C# ve XAML kullanarak yerel uygulamalar oluşturmak için Microsoft’un platformlar arası masaüstü ve mobil uygulama çerçevesidir. Sadece tek bir proje kullanarak çok platform uygulamaları oluşturmakla kalmayıp, aynı zamanda gerektiğinde platforma özgü kaynak kodunu da dahil etmek için ek özelliklere sahip bir Xamarin evrimini temsil eder.
Xamarin için resmi desteğin 1 Mayıs 2024’te sona erdiğini ve teknoloji devi geliştiricileri .NET Maui’ye göç etmeye çağırıyor.
Xamarin kullanılarak uygulanan Android kötü amaçlı yazılım geçmişte tespit edilirken, tehdit aktörlerinin .NET maui kullanarak yeni kötü amaçlı yazılımlar geliştirerek taktiklerini uyarlamaya ve geliştirmeye devam ettiğine dair en son geliştirme sinyalleri.
Shin, “Bu uygulamaların temel işlevleri tamamen C# ‘da yazılı ve BLOB ikili dosyaları olarak saklanıyor.” Dedi. “Bu, geleneksel Android uygulamalarının aksine, işlevlerinin DEX dosyalarında veya yerel kütüphanelerde mevcut olmadığı anlamına gelir.”
Bu, .Net Maui’nin bir paketleyici görevi görmesi nedeniyle aktörlere yeni bir avantaj sağlar ve kötü amaçlı eserlerin tespitten kaçınmasına ve kurban cihazlarında uzun süre devam etmesine izin verir.
.NET Maui tabanlı Android uygulamaları, toplu olarak kodlanmış FakeApp ve bunlarla ilişkili paket adları aşağıda listelenmiştir –
- X (pkprig.cljobo)
- Gizem (pcdhcg.ceongl)
- X (pdhe3s.cxbdxz)
- X (ppl74t.cgddfk)
- Cupid (Pommnc.cstgat)
- X (pinunu.cbb8ak)
- Özel albüm (pbonci.cuvnxz)
- X • gdn (pgkhe9.ckjo4p)
- Gizem (pcdhcg.ceongl)
- Küçük Evren (p9z2ej.cplkqv)
- X (pdxatr.c9c6j7)
- Gizem (pg92li.cdbrq7)
- Ek (PZQA70.CFZO30)
- Yavaş gece (paqpsn.ccf9n3)
- Indus Kredi Kartı (Indus.credit.card)
- IndusInd Card (com.rewardz.card)
Bu uygulamaların Google Play’e dağıtıldığına dair bir kanıt yoktur. Daha ziyade, ana yayılma vektörü, kullanıcıları, istenmeyen alıcıları gayri resmi uygulama mağazalarına yönlendiren mesajlaşma uygulamaları aracılığıyla gönderilen sahte bağlantıları tıklamaya tıklamayı içerir.
McAfee tarafından vurgulanan bir örnekte, uygulama, tam isimler, cep telefonu numaraları, e-posta adresleri, doğum tarihleri, konut adresleri, kredi kartı numaraları ve devlet tarafından verilen tanımlayıcılar dahil olmak üzere kullanıcıların hassas bilgilerini toplamak için bir Hint finans kurumu olarak görülür.
Başka bir uygulama, kurban cihazlarından kişileri, SMS mesajlarını ve fotoğraflarını çalmak için sosyal medya sitesini X’i taklit eder. Uygulama öncelikle Çince konuşan kullanıcıları üçüncü taraf web siteleri veya alternatif uygulama mağazaları aracılığıyla hedeflemektedir.
Analiz araçlarını kırmak için bir komut ve kontrol (C2) sunucusuna hasat edilen verileri iletmek için şifreli soket iletişiminin yanı sıra, analiz araçlarını kırmak amacıyla androidmanifest.xml dosyasına (örneğin Android.Permission.lhsziw6q “) birkaç anlamsız izin dahil olmak üzere kötü amaçlı yazılım gözlenmiştir.
Ayrıca, tespit edilmemiş kalmak için kullanılır, çok aşamalı dinamik yükleme adı verilen bir tekniktir, bu da xor şifreli bir yükleyiciyi, kötü amaçlı yazılımları yürütmek için tasarlanmış .NET maui düzeneklerini yükleyen AES ile şifreli bir yükün başlatılmasından sorumlu hale getirir.
Shin, “Ana yük nihayetinde C# kodu içinde gizleniyor.” Dedi. “Kullanıcı bir düğmeye basmak gibi uygulama ile etkileşime girdiğinde, kötü amaçlı yazılım verilerini sessizce çalır ve C2 sunucusuna gönderir.”