Los investigadores de ciberseguridad están llamando la atención sobre una campaña de malware de Android que aprovecha el marco de la aplicación multiplataforma .NET de Microsoft dirigida a los usuarios de habla india y china.
«Estas amenazas se disfrazan de sí mismas como aplicaciones legítimas, apuntando a los usuarios a robar información confidencial», dijo el investigador de McAfee Labs, Dexter Shin.
.NET Maui es el marco de escritorio multiplataforma y móvil de Microsoft para crear aplicaciones nativas con C# y XAML. Representa una evolución de la xamarina, con capacidades adicionales para no solo crear aplicaciones multiplataforma utilizando un solo proyecto, sino que también incorporan un código fuente específico de la plataforma cuando sea necesario.
Vale la pena señalar que el apoyo oficial para Xamarin terminó el 1 de mayo de 2024, con el gigante tecnológico instando a los desarrolladores a migrar a .NET Maui.
Si bien el malware de Android implementado con Xamarin se ha detectado en el pasado, las últimas señales de desarrollo de que los actores de amenaza continúan adaptando y refinando sus tácticas mediante el desarrollo de un nuevo malware usando .NET Maui.
«Estas aplicaciones tienen sus funcionalidades centrales escritas completamente en C# y almacenadas como binarios de blob», dijo Shin. «Esto significa que, a diferencia de las aplicaciones tradicionales de Android, sus funcionalidades no existen en archivos Dex o bibliotecas nativas».
Esto brinda una ventaja nueva para la amenaza de los actores en que .NET Maui actúa como un empacador, lo que permite que los artefactos maliciosos evadan la detección y persistan en dispositivos de víctimas por largos períodos de tiempo.
Las aplicaciones Android con sede en .NET Maui, colectivamente con nombre en código FakeApp, y sus nombres de paquetes asociados se enumeran a continuación –
- X (pkprig.cljobo)
- Mystery (pcdhcg.ceongl)
- X (pdHe3s.cxbdxz)
- X (ppl74t.cgddfk)
- Cupido (Pommnc.cstgat)
- X (Pinunu.CBB8AK)
- Álbum privado (PBBUn.Cuvnxz)
- X • GDN (PGKHE9.CKJO4P)
- Mystery (pcdhcg.ceongl)
- Small Universo (P9Z2EJ.CPLKQV)
- X (pdxatr.c9c6j7)
- Misterio (PG92LI.CDBRQ7)
- Adjunto (PZQA70.CFZO30)
- Noche lenta (paqpsn.ccf9n3)
- Tarjeta de crédito del Indo (Indus.Credit.Card)
- Card IndusInd (com.rewardz.card)
No hay evidencia de que estas aplicaciones se distribuyan a Google Play. Más bien, el principal vector de propagación implica engañar a los usuarios para que haga clic en enlaces falsos enviados a través de aplicaciones de mensajería que redirigen a los destinatarios involuntarios a las tiendas de aplicaciones no oficiales.
En un ejemplo destacado por McAfee, la aplicación se disfraza de una institución financiera india para recopilar la información confidencial de los usuarios, incluidos nombres completos, números móviles, direcciones de correo electrónico, fechas de nacimiento, direcciones residenciales, números de tarjetas de crédito e identificadores emitidos por el gobierno.
Otra aplicación imita el sitio de redes sociales X para robar contactos, mensajes SMS y fotos de dispositivos de víctimas. La aplicación se dirige principalmente a usuarios de habla china a través de sitios web de terceros o tiendas de aplicaciones alternativas.
Además de usar la comunicación de socket encriptada para transmitir datos cosechados a un servidor de comando y control (C2), se ha observado el malware, incluidos varios permisos sin sentido al archivo androidmanifest.xml (por ejemplo, «android.permission.lhssziw6q») en un intento de romper las herramientas de análisis.
También se usa para permanecer sin ser detectado una técnica llamada carga dinámica de varias etapas, que hace uso de un cargador encriptado XOR responsable de lanzar una carga útil cifrada de AES que, a su vez, carga ensamblajes .NET MAUI diseñados para ejecutar el malware.
«La carga útil principal está oculta en última instancia dentro del código C#», dijo Shin. «Cuando el usuario interactúa con la aplicación, como presionar un botón, el malware roba silenciosamente sus datos y los envía al servidor C2».