Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch phần mềm độc hại trên Android lợi dụng nền tảng .NET Multi-platform App UI (.NET MAUI) của Microsoft để tạo ra các ứng dụng ngân hàng và mạng xã hội giả mạo nhắm vào người dùng nói tiếng Ấn Độ và Trung Quốc.
Nhà nghiên cứu Dexter Shin của McAfee Labs cho biết : "Những mối đe dọa này ngụy trang thành các ứng dụng hợp pháp, nhắm vào người dùng để đánh cắp thông tin nhạy cảm".
.NET MAUI là nền tảng ứng dụng di động và máy tính để bàn đa nền tảng của Microsoft để tạo ứng dụng gốc bằng C# và XAML. Nó đại diện cho sự phát triển của Xamarin, với các khả năng bổ sung không chỉ tạo ứng dụng đa nền tảng bằng một dự án duy nhất mà còn kết hợp mã nguồn dành riêng cho nền tảng khi cần thiết.
Điều đáng chú ý là hỗ trợ chính thức cho Xamarin đã kết thúc vào ngày 1 tháng 5 năm 2024 , khi gã khổng lồ công nghệ này thúc giục các nhà phát triển chuyển sang .NET MAUI.
Mặc dù phần mềm độc hại Android được triển khai bằng Xamarin đã được phát hiện trong quá khứ , nhưng diễn biến mới nhất cho thấy kẻ tấn công đang tiếp tục thích nghi và tinh chỉnh chiến thuật của mình bằng cách phát triển phần mềm độc hại mới bằng .NET MAUI.
"Những ứng dụng này có các chức năng cốt lõi được viết hoàn toàn bằng C# và được lưu trữ dưới dạng tệp nhị phân blob", Shin cho biết. "Điều này có nghĩa là không giống như các ứng dụng Android truyền thống, các chức năng của chúng không tồn tại trong các tệp DEX hoặc thư viện gốc".
Điều này mang lại lợi thế mới cho kẻ tấn công ở chỗ .NET MAUI hoạt động như một trình đóng gói, cho phép các hiện vật độc hại tránh bị phát hiện và tồn tại trên thiết bị của nạn nhân trong thời gian dài.
Các ứng dụng Android dựa trên .NET MAUI, có tên mã chung là FakeApp và tên gói liên quan của chúng được liệt kê bên dưới:
X (pkPrIg.cljOBO)
迷城 (pCDhCg.cEOngl)
X (pdhe3s.cXbDXZ)
X (ppl74T.cgDdFK)
Thần tình yêu (pommNC.csTgAT)
X (pINUNU.cbb8AK)
Mã hóa dữ liệu (pBOnCi.cUVNXz)
X•GDN (pgkhe9.ckJo4P)
迷城 (pCDhCg.cEOngl)
小宇宙 (p9Z2Ej.cplkQv)
X (pDxAtR.c9C6j7)
迷城 (pg92Li.cdbrQ7)
Ví dụ (pZQA70.cFzO30)
慢夜 (pAQPSN.CcF9N3)
thẻ tín dụng indus (indus.credit.card)
Thẻ Indusind (com.rewardz.card)
Không có bằng chứng nào cho thấy các ứng dụng này được phân phối tới Google Play. Thay vào đó, phương thức lan truyền chính là lừa người dùng nhấp vào các liên kết giả mạo được gửi qua các ứng dụng nhắn tin chuyển hướng người nhận không biết đến các cửa hàng ứng dụng không chính thức.
Trong một ví dụ được McAfee nêu bật, ứng dụng này ngụy trang thành một tổ chức tài chính Ấn Độ để thu thập thông tin nhạy cảm của người dùng, bao gồm họ tên đầy đủ, số điện thoại di động, địa chỉ email, ngày sinh, địa chỉ cư trú, số thẻ tín dụng và mã định danh do chính phủ cấp.
Một ứng dụng khác bắt chước trang mạng xã hội X để đánh cắp danh bạ, tin nhắn SMS và ảnh từ thiết bị của nạn nhân. Ứng dụng này chủ yếu nhắm vào người dùng nói tiếng Trung Quốc thông qua các trang web của bên thứ ba hoặc các cửa hàng ứng dụng thay thế.
Bên cạnh việc sử dụng giao tiếp socket được mã hóa để truyền dữ liệu thu thập được đến máy chủ chỉ huy và kiểm soát (C2), phần mềm độc hại còn được phát hiện bao gồm một số quyền vô nghĩa đối với tệp AndroidManifest.xml (ví dụ: "android.permission.LhSSzIw6q") nhằm phá vỡ các công cụ phân tích.
Ngoài ra, để không bị phát hiện, một kỹ thuật có tên là tải động nhiều giai đoạn cũng được sử dụng, trong đó sử dụng trình tải được mã hóa XOR có nhiệm vụ khởi chạy một tải trọng được mã hóa AES, sau đó tải các tập hợp .NET MAUI được thiết kế để thực thi phần mềm độc hại.
"Phần tải trọng chính cuối cùng được ẩn trong mã C#", Shin cho biết. "Khi người dùng tương tác với ứng dụng, chẳng hạn như nhấn nút, phần mềm độc hại sẽ âm thầm đánh cắp dữ liệu của họ và gửi đến máy chủ C2".
Source: https://thehackernews.com/2025/03/hackers-use-net-maui-to-target-indian.html
Nhà nghiên cứu Dexter Shin của McAfee Labs cho biết : "Những mối đe dọa này ngụy trang thành các ứng dụng hợp pháp, nhắm vào người dùng để đánh cắp thông tin nhạy cảm".
.NET MAUI là nền tảng ứng dụng di động và máy tính để bàn đa nền tảng của Microsoft để tạo ứng dụng gốc bằng C# và XAML. Nó đại diện cho sự phát triển của Xamarin, với các khả năng bổ sung không chỉ tạo ứng dụng đa nền tảng bằng một dự án duy nhất mà còn kết hợp mã nguồn dành riêng cho nền tảng khi cần thiết.
Điều đáng chú ý là hỗ trợ chính thức cho Xamarin đã kết thúc vào ngày 1 tháng 5 năm 2024 , khi gã khổng lồ công nghệ này thúc giục các nhà phát triển chuyển sang .NET MAUI.
Mặc dù phần mềm độc hại Android được triển khai bằng Xamarin đã được phát hiện trong quá khứ , nhưng diễn biến mới nhất cho thấy kẻ tấn công đang tiếp tục thích nghi và tinh chỉnh chiến thuật của mình bằng cách phát triển phần mềm độc hại mới bằng .NET MAUI.
"Những ứng dụng này có các chức năng cốt lõi được viết hoàn toàn bằng C# và được lưu trữ dưới dạng tệp nhị phân blob", Shin cho biết. "Điều này có nghĩa là không giống như các ứng dụng Android truyền thống, các chức năng của chúng không tồn tại trong các tệp DEX hoặc thư viện gốc".
Điều này mang lại lợi thế mới cho kẻ tấn công ở chỗ .NET MAUI hoạt động như một trình đóng gói, cho phép các hiện vật độc hại tránh bị phát hiện và tồn tại trên thiết bị của nạn nhân trong thời gian dài.
Các ứng dụng Android dựa trên .NET MAUI, có tên mã chung là FakeApp và tên gói liên quan của chúng được liệt kê bên dưới:
X (pkPrIg.cljOBO)
迷城 (pCDhCg.cEOngl)
X (pdhe3s.cXbDXZ)
X (ppl74T.cgDdFK)
Thần tình yêu (pommNC.csTgAT)
X (pINUNU.cbb8AK)
Mã hóa dữ liệu (pBOnCi.cUVNXz)
X•GDN (pgkhe9.ckJo4P)
迷城 (pCDhCg.cEOngl)
小宇宙 (p9Z2Ej.cplkQv)
X (pDxAtR.c9C6j7)
迷城 (pg92Li.cdbrQ7)
Ví dụ (pZQA70.cFzO30)
慢夜 (pAQPSN.CcF9N3)
thẻ tín dụng indus (indus.credit.card)
Thẻ Indusind (com.rewardz.card)
Không có bằng chứng nào cho thấy các ứng dụng này được phân phối tới Google Play. Thay vào đó, phương thức lan truyền chính là lừa người dùng nhấp vào các liên kết giả mạo được gửi qua các ứng dụng nhắn tin chuyển hướng người nhận không biết đến các cửa hàng ứng dụng không chính thức.
Trong một ví dụ được McAfee nêu bật, ứng dụng này ngụy trang thành một tổ chức tài chính Ấn Độ để thu thập thông tin nhạy cảm của người dùng, bao gồm họ tên đầy đủ, số điện thoại di động, địa chỉ email, ngày sinh, địa chỉ cư trú, số thẻ tín dụng và mã định danh do chính phủ cấp.
Một ứng dụng khác bắt chước trang mạng xã hội X để đánh cắp danh bạ, tin nhắn SMS và ảnh từ thiết bị của nạn nhân. Ứng dụng này chủ yếu nhắm vào người dùng nói tiếng Trung Quốc thông qua các trang web của bên thứ ba hoặc các cửa hàng ứng dụng thay thế.
Bên cạnh việc sử dụng giao tiếp socket được mã hóa để truyền dữ liệu thu thập được đến máy chủ chỉ huy và kiểm soát (C2), phần mềm độc hại còn được phát hiện bao gồm một số quyền vô nghĩa đối với tệp AndroidManifest.xml (ví dụ: "android.permission.LhSSzIw6q") nhằm phá vỡ các công cụ phân tích.
Ngoài ra, để không bị phát hiện, một kỹ thuật có tên là tải động nhiều giai đoạn cũng được sử dụng, trong đó sử dụng trình tải được mã hóa XOR có nhiệm vụ khởi chạy một tải trọng được mã hóa AES, sau đó tải các tập hợp .NET MAUI được thiết kế để thực thi phần mềm độc hại.
"Phần tải trọng chính cuối cùng được ẩn trong mã C#", Shin cho biết. "Khi người dùng tương tác với ứng dụng, chẳng hạn như nhấn nút, phần mềm độc hại sẽ âm thầm đánh cắp dữ liệu của họ và gửi đến máy chủ C2".
Source: https://thehackernews.com/2025/03/hackers-use-net-maui-to-target-indian.html
