Yeni Android kötü amaçlı yazılım kampanyaları, Microsoft’un platformlar arası çerçevesi .NET Maui’yi kullanırken, tespitten kaçınmak için meşru hizmetler olarak gizlenir.
Taktik, Android güvenliğini artırmaya adanmış uygulama savunma ittifakının bir üyesi olan McAfee’nin mobil araştırma ekibi tarafından gözlemlendi.
Uygulamalar McAfee Çin ve Hindistan’da hedef kullanıcıları gözlemlemesine rağmen, hedefleme kapsamı genişleyebileceğinden ve aynı taktik yakında diğer siber suçlular tarafından benimsenebilir.
Android’de .Net Maui’yi kullanma
2022’de piyasaya sürülen .NET Maui, Microsoft tarafından Xamarin’in yerini alarak hem masaüstü hem de mobil platformları destekleyen bir uygulama geliştirme çerçevesidir.
Tipik olarak, Android uygulamaları Java/Kotlin’de yazılır ve kodu DEX formatında saklar, ancak uygulamanın ikili blob dosyaları içinde depolanan mantığı ile C# ‘da bir Android uygulaması oluşturmak için .NET maui’yi kullanmak teknik olarak mümkündür.
Çağdaş Android Güvenlik Araçları, DEX dosyalarını şüpheli mantık için taramak ve blob dosyalarını incelememek için tasarlanmıştır. Bu, tehdit aktörlerinin lekelerdeki kötü niyetli kodu gizlemelerini ve baypas algılamasını sağlar.
Bu yaklaşım, günümüzde çoğu Android kötü amaçlı yazılımla standart taktik olan güncellemeler yoluyla yükleme sonrası kötü amaçlı kod almaktan daha tercih edilir.
Bu durumda, taktik etkilidir, çünkü Android’deki C#tabanlı uygulamalar ve blob dosyaları belirsizdir.
.NET Maui’yi kullanmanın yanı sıra, McAffee tarafından gözlemlenen kampanyalar çok katmanlı şifreleme (XOR + AES) ve aşamalı yürütme, ‘Androidmanifest.xml’ dosya rastgele oluşturulan dizelerle şişkinlik ve komut ve kontrol (C2) iletişimleri için TCP soketi kullanıyor.
McAfee, “Bu kaçırma teknikleriyle, tehditler uzun süre gizli kalabilir, analiz ve tespiti önemli ölçüde daha zor hale getirebilir.”
“Ayrıca, aynı çekirdek teknikleri kullanarak çoklu varyantların keşfi, bu tür kötü amaçlı yazılımların giderek yaygınlaştığını göstermektedir.”
Sahte X uygulamaları verileri çalın
McAfee, sahte bankacılık, iletişim, randevu ve X gibi sosyal medya uygulamaları da dahil olmak üzere .NET Maui tekniğini kullanarak kampanyaların bir parçası olarak raporunda birkaç APKS keşfetti.
Kaynak: McAfee
Araştırmacılar, Android’in resmi uygulama mağazası olan Google Play dışında dağıtılan IndusInd ve SNS örnek olarak iki uygulama kullandılar.
McAfee, “Google Play Store’a erişimin kısıtlandığı Çin’de, bu tür uygulamalar genellikle üçüncü taraf web siteleri veya alternatif uygulama mağazaları aracılığıyla dağıtılıyor.”
“Bu, saldırganların, özellikle resmi uygulama mağazalarına sınırlı erişimi olan bölgelerde kötü amaçlı yazılımlarını daha kolay yaymalarını sağlar.”
İlk durumda, uygulama bir Hint bankasını taklit eder, kullanıcıları duyarlı kişisel ve finansal bilgileri girmeye ve C2 sunucusuna ekspiltrat eder.
Kaynak: McAfee
Çince konuşan kullanıcıları hedefleyen SNS uygulama durumunda, uygulama iletişim listelerini, SMS mesajlarını ve cihazda saklanan fotoğrafları çalmaya çalışır.
Kaynak: McAfee
Bu kaçamaklı kötü amaçlı yazılım uygulamaları tarafından enfeksiyon riskini en aza indirmek için, üçüncü taraf uygulama mağazalarından veya belirsiz web sitelerinden Android APK’ları indirmekten kaçının ve SMS veya e-posta yoluyla alınan bağlantıları tıklamaktan kaçının.
Google Play’in kullanılamadığı bölgelerdeyseniz, kötü amaçlı işaretler için APK’ları tarayın ve bunları yalnızca güvenilir sitelerden yükleyin.
Google Play Protect, en son kampanyaların bir parçası olarak tanımlanan APKS McAfee’yi algılayabilir ve engelleyebilir, bu nedenle cihazınızda etkin olduğundan emin olun.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.