Uç nokta güvenliği
Siber güvenlik firması, Microsoft .NET Maui ile kodlanmış uygulamaların döküntüsünü bulur
Prajeet Nair (@prajeaetspeaks) •
26 Mart 2025
Siber suçlular, güvenlik önlemlerini atlayan, algılamadan kaçınan ve kullanıcı verilerini çalan Android kötü amaçlı yazılım oluşturmak için bir Microsoft çapraz platform uygulama geliştirme çerçevesi kullanıyor.
Ayrıca bakınız: AI, Otomasyon ve Uyum: Bankacılık Risk Yönetiminde Yeni Sınır
McAfee araştırmacıları, siber suçluların, Mayıs 2022’de yayınlanan yerel mobil ve masaüstü uygulamaları, .Net Maui’yi oluşturmak için bilgi işlem devinin en yeni platformuna yöneldiğini söylüyor. Meşru uygulama geliştiricileri için uygun olan – bir kez yazma, herhangi bir yerde deneyim – kötü niyetli yazılımlar yapmak için iyi. Kötü amaçlı uygulamalar genellikle finansal kurumlar gibi bilinen kaynaklardan gerçek uygulamaları taklit eder, bunları üçüncü taraf web siteleri veya alternatif uygulama mağazaları aracılığıyla Google Play Store’un dışına dağıtır.
McAfee Masquerades tarafından Hintli kullanıcıları hedefleyen bir bankacılık başvurusu olarak tanımlanan bir varyant. Resmi bir IndusInd Bank uygulaması olarak poz veren, kurbanları isimler, telefon numaraları ve bankacılık kimlik bilgileri de dahil olmak üzere duyarlı kişisel ve finansal detaylara girmeye teşvik ediyor. Çince konuşan kullanıcıları hedefleyen başka bir varyant, kendisini bir sosyal ağ hizmeti uygulaması olarak gizler. Bu kötü amaçlı yazılım, enfekte cihazlardan kişileri, SMS mesajlarını ve fotoğraflarını çalmak için tasarlanmıştır.
McAfee araştırmacıları tarafından tespit edilen Microsoft platformu ile geliştirilen kötü amaçlı uygulamalar geleneksel Android kötü amaçlı yazılım değildir. “Tipik kötü amaçlı uygulamaların aksine, Java veya yerel kodda belirgin bir zararlı kod izi yoktur.”
McAfee tarafından gözlemlenen sahte uygulamalar Kötü niyetli kodları Assemblies dizinindeki blob dosyaları olarak gizler – yani, bazı antivirüs çözümlerinin kötü amaçlı yazılım aramadığı temel .NET mantık birimine gömülü ikili büyük nesne dosyaları olarak gizlenirler.
Varlıklarını tespitten gizlemek için kullanılan bir diğer önemli teknik de çok aşamalı dinamik yüklemedir. Hackerlar, kötü niyetli yükü doğrudan gömmek yerine, Android Yürütülebilir dosyasını üç ayrı aşamada yükler: gerçek yürütülebilir dosyayı gizlemek için var olan ikinci bir aşama için bir yükleyici ve son olarak .NET Maui tarafından geliştirilen kötü niyetli kod. Her aşama yüklenene kadar şifrelenir.
Bilgisayar korsanları da manipüle etti AndroidManifest.xml Bazı analiz araçlarında hatalara neden olmak için esas olarak rastgele oluşturulan dizeler olan aşırı sayıda izin ekleyerek dosya. Manifest, uygulamanın yapısını, bileşenlerini ve gereksinimlerini tanımlayan Android uygulamaları için zorunlu bir dosyadır.
Güvenlik çözümlerinden kaçınmak için kullanılan başka bir yöntem, standart HTTP isteklerini şifreli TCP soket bağlantılarıyla değiştirerek güvenlik yazılımının kötü amaçlı trafiği ele geçirmesini ve analiz etmesini önler.
Araştırmacılar, bu teknikleri dağıtmak için daha fazla kötü amaçlı yazılım görmeyi bekledikleri konusunda uyarıyorlar.