Nieuwe Android-malwarecampagnes maken gebruik van het cross-platform framework .NET MAUI van Microsoft, terwijl ze zich voordoen als legitieme diensten om detectie te omzeilen.

De tactiek werd waargenomen door het Mobile Research Team van McAfee, een lid van de App Defense Alliance die zich inzet voor het verbeteren van de Android-beveiliging.

Hoewel de apps die McAfee heeft waargenomen zich richten op gebruikers in China en India, is het belangrijk om de aanvallen te onthullen omdat de doelgroep zou kunnen uitbreiden en dezelfde tactiek mogelijk snel door andere cybercriminelen kan worden aangenomen.

Het gebruik van .NET MAUI op Android

Gelanceerd in 2022, is .NET MAUI een app-ontwikkelingsframework in C#, geïntroduceerd door Microsoft als vervanging voor Xamarin, dat zowel desktop als mobiele platforms ondersteunt.

Meestal worden Android-apps geschreven in Java/Kotlin en wordt de code opgeslagen in DEX-formaat, maar het is technisch mogelijk om .NET MAUI te gebruiken om een Android-app in C# te bouwen waarbij de logica van de app in binaire blob-bestanden wordt opgeslagen.

Moderne Android-beveiligingshulpmiddelen zijn ontworpen om DEX-bestanden op verdachte logica te scannen en onderzoeken geen blob-bestanden. Hierdoor kunnen dreigingsactoren kwaadaardige code in de blobs verbergen en detectie omzeilen.

Deze aanpak is zelfs nog voordeliger dan het ophalen van kwaadaardige code na installatie via updates, wat tegenwoordig de standaardtactiek is bij de meeste Android-malware.

In dit geval is de tactiek effectief omdat op C# gebaseerde apps en blob-bestanden op Android obscuur zijn.

Afgezien van het gebruik van .NET MAUI, maken de door McAfee waargenomen campagnes gebruik van gelaagde encryptie (XOR + AES) en gefaseerde uitvoering, ‘AndroidManifest.xml’ bestand-opvulling met willekeurig gegenereerde strings en TCP-socket voor command-and-control (C2) communicatie.

“Met deze ontwijkingstechnieken kunnen de bedreigingen lange tijd verborgen blijven, waardoor analyse en detectie aanzienlijk moeilijker worden,” waarschuwt McAfee.

“Bovendien suggereert de ontdekking van meerdere varianten die dezelfde kerntechnieken gebruiken dat dit type malware steeds vaker voorkomt.”

Valse X-apps stelen gegevens

McAfee ontdekte verschillende APK’s in zijn rapport als onderdeel van de campagnes die de .NET MAUI-techniek gebruiken, waaronder valse bank-, communicatie-, dating- en sociale media-apps zoals X.

De onderzoekers gebruikten twee apps als voorbeelden, IndusInd en SNS, die buiten Google Play, de officiële app-winkel van Android, worden gedistribueerd.

“In China, waar de toegang tot de Google Play Store beperkt is, worden dergelijke apps vaak gedistribueerd via websites van derden of alternatieve app-winkels,” legt McAfee uit.

“Dit stelt aanvallers in staat om hun malware gemakkelijker te verspreiden, vooral in regio’s met beperkte toegang tot officiële app-winkels.”

In het eerste geval doet de app zich voor als een Indiase bank en vraagt gebruikers om gevoelige persoonlijke en financiële informatie in te voeren en stuurt deze naar de C2-server.

In het geval van de SNS-app, die zich richt op Chineessprekende gebruikers, probeert de app contactlijsten, SMS-berichten en foto’s op het apparaat te stelen.

Om het risico op infectie door deze ontwijkende malware-apps te minimaliseren, vermijd het downloaden van Android APK’s van app-winkels van derden of obscure websites en vermijd het klikken op links ontvangen via SMS of e-mail.

Als je je bevindt in regio’s waar Google Play niet beschikbaar is, controleer APK’s op kwaadaardige signalen en installeer ze alleen van vertrouwde sites.

Google Play Protect kan de APK’s detecteren en blokkeren die McAfee heeft geïdentificeerd als onderdeel van de nieuwste campagnes, dus zorg ervoor dat het actief is op je apparaat.