Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Aplicaciones falsas de Android .NET MAUI

Aplicaciones falsas de Android .NET MAUI

Por Mezo en Malware móvil
Traducir a:
Español

Expertos en ciberseguridad han descubierto una nueva campaña de malware para Android que explota el framework .NET Multi-platform App UI (.NET MAUI) de Microsoft. Camufladas como aplicaciones bancarias y de redes sociales, estas aplicaciones amenazantes se dirigen principalmente a usuarios de habla india y china y buscan recopilar información confidencial.

¿Qué es .NET MAUI y por qué se utiliza?

.NET MAUI es el framework multiplataforma de Microsoft para desarrollar aplicaciones nativas con C# y XAML. Evolucionó a partir de Xamarin y ofrece a los desarrolladores una forma simplificada de crear aplicaciones multiplataforma con un solo proyecto, permitiendo el uso de código específico de la plataforma cuando sea necesario.

Cabe destacar que Microsoft finalizó oficialmente el soporte para Xamarin el 1 de mayo de 2024, lo que animó a los desarrolladores a migrar a .NET MAUI. Los actores de amenazas se han adaptado rápidamente, aprovechando este marco para desarrollar nuevo malware para Android, continuando su tendencia de perfeccionar y desarrollar sus métodos de ataque.

Cómo .NET MAUI ayuda al malware a evadir la detección

A diferencia de las aplicaciones Android tradicionales, que dependen de archivos DEX y bibliotecas nativas, el malware basado en .NET MAUI almacena sus funcionalidades principales en binarios de blobs de C#. Esto dificulta su detección, ya que el framework actúa como un empaquetador que ayuda al malware a persistir sin ser detectado en los dispositivos de las víctimas.

Al utilizar .NET MAUI, los ciberdelincuentes obtienen varias ventajas:

  • Modo sigiloso : el código dañado está oculto dentro de los binarios de C#, lo que dificulta su análisis.
  • Persistencia prolongada : el malware permanece en los dispositivos infectados durante más tiempo sin activar alertas de seguridad.
  • Tácticas de evasión : la arquitectura no convencional permite eludir los análisis de seguridad tradicionales.

Se identifican aplicaciones bancarias y de redes sociales falsas

Los investigadores han identificado múltiples aplicaciones fraudulentas que utilizan .NET MAUI, conocidas colectivamente como FakeApp. Algunas de las aplicaciones falsas más destacadas incluyen:

Aplicaciones bancarias falsas:

Tarjeta de crédito Indus (indus.credit.card)

Tarjeta Indusind (com.rewardz.card)

Redes sociales falsas y aplicaciones de utilidad:

Cupido (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Álbum privado) (pBOnCi.cUVNXz)

小宇宙 (Pequeño Universo) (p9Z2Ej.cplkQv)

Estas aplicaciones engañan a los usuarios para que las instalen y luego extraen y transmiten silenciosamente sus datos personales a un servidor controlado por el atacante.

Cómo se engaña a los usuarios

A diferencia de las aplicaciones legítimas distribuidas a través de Google Play, estas aplicaciones falsas se distribuyen mediante tácticas engañosas. Los atacantes envían enlaces fraudulentos a través de aplicaciones de mensajería, lo que lleva a los usuarios a tiendas de aplicaciones no oficiales donde, sin saberlo, descargan el malware.

Por ejemplo:

  • Una aplicación bancaria falsa se hace pasar por una institución financiera india para robar los nombres completos, números de teléfono móvil, detalles de tarjetas de crédito e identificaciones emitidas por el gobierno de los usuarios.
  • Una aplicación fraudulenta de redes sociales que imita a "X" (antes Twitter) recopila contactos, mensajes SMS y fotos, y se dirige a usuarios de habla china.

Las técnicas avanzadas de evasión utilizadas

Para evitar ser detectado, el malware emplea múltiples técnicas sofisticadas:

  • Transmisión de datos cifrados : los datos recopilados se envían a un servidor de comando y control (C2) mediante una comunicación de socket cifrada.
  • Permisos falsos : el malware inyecta permisos sin sentido (por ejemplo, 'android.permission.LhSSzIw6q') en el archivo AndroidManifest.xml para confundir las herramientas de análisis.
  • Carga dinámica de múltiples etapas : utiliza un cargador cifrado con XOR para lanzar una carga útil cifrada con AES, que luego carga los ensamblajes .NET MAUI que contienen el malware real.
  • La interacción del usuario desencadena acciones maliciosas : La carga útil principal permanece oculta en el código C# y solo se activa cuando el usuario interactúa con la aplicación (por ejemplo, al pulsar un botón). En ese momento, roba datos silenciosamente y los transmite al servidor C2.

Cómo mantenerse a salvo

Dada la creciente sofisticación de estos ataques, los usuarios deben tomar medidas proactivas para protegerse:

  • Evite las tiendas de aplicaciones de terceros : descargue aplicaciones solo de Google Play o de fuentes confiables.
  • Verificar los permisos de las aplicaciones : tenga cuidado con las aplicaciones que solicitan permisos innecesarios.
  • Manténgase alerta ante los enlaces de phishing : no haga clic en enlaces sospechosos en los mensajes.
  • Utilice software anti-malware : instale una solución de seguridad móvil confiable para detectar y eliminar amenazas potenciales.

Dado que los ciberdelincuentes evolucionan continuamente sus tácticas, mantenerse informado y cauteloso es la mejor defensa contra estas amenazas emergentes.

Tendencias

Estafas de correo electrónico de Mail Cloud Server

Suplantación de identidad (phishing), Correo basura
Internet está lleno de estrategias engañosas diseñadas para explotar a usuarios desprevenidos, por lo que es fundamental ser precavido al navegar y gestionar correos electrónicos. Los ataques de phishing, como la estafa de correo electrónico de Mail Cloud Server, se encuentran entre las amenazas más comunes y utilizan tácticas de ingeniería social para robar información confidencial. Al...

Mas Visto

Cargando...