Los investigadores de ciberseguridad están llamando la atención sobre una campaña de malware de Android que aprovecha el entorno de la aplicación multiplataforma .NET de Microsoft dirigida a los usuarios de acento india y china.
«Estas amenazas se disfrazan de sí mismas como aplicaciones legítimas, apuntando a los usuarios a robar información confidencial», dijo el investigador de McAfee Labs, Dexter Shin.
.NET Maui es el entorno de escritorio multiplataforma y móvil de Microsoft para crear aplicaciones nativas con C# y XAML. Representa una proceso de la xamarina, con capacidades adicionales para no solo crear aplicaciones multiplataforma utilizando un solo esquema, sino que todavía incorporan un código fuente específico de la plataforma cuando sea necesario.
Vale la pena señalar que el apoyo oficial para Xamarin terminó el 1 de mayo de 2024, con el cíclope tecnológico instando a los desarrolladores a portar a .NET Maui.
Si perfectamente el malware de Android implementado con Xamarin se ha detectado en el pasado, las últimas señales de mejora de que los actores de amenaza continúan adaptando y refinando sus tácticas mediante el mejora de un nuevo malware usando .NET Maui.
«Estas aplicaciones tienen sus funcionalidades centrales escritas completamente en C# y almacenadas como binarios de blob», dijo Shin. «Esto significa que, a diferencia de las aplicaciones tradicionales de Android, sus funcionalidades no existen en archivos Dex o bibliotecas nativas».
Esto brinda una preeminencia nueva para la amenaza de los actores en que .NET Maui actúa como un empacador, lo que permite que los artefactos maliciosos evadan la detección y persistan en dispositivos de víctimas por largos períodos de tiempo.
Las aplicaciones Android con sede en .NET Maui, colectivamente con nombre en código FakeApp, y sus nombres de paquetes asociados se enumeran a continuación –
- X (pkprig.cljobo)
- Mystery (pcdhcg.ceongl)
- X (pdHe3s.cxbdxz)
- X (ppl74t.cgddfk)
- Cupido (Pommnc.cstgat)
- X (Pinunu.CBB8AK)
- Disco privado (PBBUn.Cuvnxz)
- X • GDN (PGKHE9.CKJO4P)
- Mystery (pcdhcg.ceongl)
- Small Universo (P9Z2EJ.CPLKQV)
- X (pdxatr.c9c6j7)
- Intriga (PG92LI.CDBRQ7)
- Adjunto (PZQA70.CFZO30)
- Incertidumbre lenta (paqpsn.ccf9n3)
- Polímero de crédito del Indo (Indus.Credit.Card)
- Card IndusInd (com.rewardz.card)
No hay evidencia de que estas aplicaciones se distribuyan a Google Play. Más perfectamente, el principal vector de propagación implica engañar a los usuarios para que haga clic en enlaces falsos enviados a través de aplicaciones de transporte que redirigen a los destinatarios involuntarios a las tiendas de aplicaciones no oficiales.
En un ejemplo destacado por McAfee, la aplicación se disfraza de una institución financiera india para compendiar la información confidencial de los usuarios, incluidos nombres completos, números móviles, direcciones de correo electrónico, fechas de comienzo, direcciones residenciales, números de tarjetas de crédito e identificadores emitidos por el gobierno.
Otra aplicación imita el sitio de redes sociales X para robar contactos, mensajes SMS y fotos de dispositivos de víctimas. La aplicación se dirige principalmente a usuarios de acento china a través de sitios web de terceros o tiendas de aplicaciones alternativas.
Por otra parte de usar la comunicación de socket encriptada para transmitir datos cosechados a un servidor de comando y control (C2), se ha observado el malware, incluidos varios permisos sin sentido al archivo androidmanifest.xml (por ejemplo, «android.permission.lhssziw6q») en un intento de romper las herramientas de examen.
Asimismo se usa para permanecer sin ser detectado una técnica citación carga dinámica de varias etapas, que hace uso de un cargador encriptado XOR responsable de propalar una carga útil cifrada de AES que, a su vez, carga ensamblajes .NET MAUI diseñados para ejecutar el malware.
«La carga útil principal está oculta en última instancia internamente del código C#», dijo Shin. «Cuando el becario interactúa con la aplicación, como presionar un pimpollo, el malware roba silenciosamente sus datos y los envía al servidor C2».
