Novas ameaças para dispositivos Android estão explorando a estrutura .NET MAUI da Microsoft para se disfarçarem como aplicativos legítimos, dificultando a detecção por soluções de segurança.
Essa estratégia foi identificada pela Equipe de Pesquisa Móvel da McAfee, que faz parte da App Defense Alliance, uma iniciativa para fortalecer a segurança do ecossistema Android. Embora os ataques tenham sido detectados principalmente na China e na Índia, há preocupação de que essa tática se espalhe globalmente.
A utilização do .NET MAUI no Android
O .NET MAUI, lançado em 2022 pela Microsoft, é uma estrutura de desenvolvimento em C# que substituiu o Xamarin, permitindo a criação de aplicativos para múltiplas plataformas, incluindo Android.
Geralmente, aplicativos Android são desenvolvidos em Java ou Kotlin, armazenando seu código no formato DEX. No entanto, é possível criar apps para Android em C# utilizando .NET MAUI, onde a lógica do programa fica em arquivos blob binários.
Ferramentas de segurança para Android focam na análise de arquivos DEX, deixando arquivos blob fora do escopo de detecção. Isso permite que cibercriminosos ocultem códigos maliciosos nesses blobs, escapando do monitoramento convencional.
Diferente de outros malwares, que baixam códigos maliciosos após a instalação, essa tática permite que a ameaça esteja presente desde o início, sem a necessidade de atualizações adicionais.
Táticas avançadas de evasão
Além do uso do .NET MAUI, as campanhas identificadas utilizam criptografia multicamadas (XOR + AES), execução em etapas e inchaço do arquivo ‘AndroidManifest.xml’ com strings aleatórias. Também empregam soquetes TCP para comunicação com servidores de comando e controle (C2).
Notícias Relacionadas
Segurança digital
Spyware disfarçado de Alpine Quest infecta Androids de militares russos
Especialistas em segurança digital identificaram uma sofisticada operação de espionagem cibernética que tem como alvo militares russos por meio de um spyware disfarçado como o aplicativo de mapeamento Alpine Quest. A campanha, que modifica versões antigas do app legítimo, explora a popularidade da ferramenta entre os usuários que atuam em zonas de conflito, especialmente na […]
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Essas técnicas tornam a detecção mais difícil e prolongam a atividade maliciosa sem serem descobertas. Segundo a McAfee, a presença de variantes utilizando essas mesmas táticas indica que esse tipo de malware está se tornando cada vez mais comum.
Falsos aplicativos e roubo de dados
A McAfee identificou diversos APKs maliciosos em sua investigação, incluindo aplicativos falsos de bancos, redes sociais, encontros e comunicação, como uma versão fraudulenta do X (antigo Twitter).
Dois aplicativos analisados foram IndusInd e SNS, distribuídos fora da Google Play Store. Em regiões onde a loja oficial do Android é inacessível, como na China, esses apps são disseminados via lojas alternativas ou sites de terceiros.
- O IndusInd se apresenta como um aplicativo bancário indiano, coletando informações financeiras e pessoais dos usuários e as enviando para um servidor C2.
- O SNS tem como alvo falantes de mandarim e busca roubar listas de contatos, mensagens SMS e imagens armazenadas no dispositivo.
Como se proteger
Para evitar infecções por esses malwares sofisticados:
- Evite baixar APKs de fontes não confiáveis ou lojas de aplicativos desconhecidas.
- Desconfie de links recebidos por SMS ou e-mails suspeitos.
- Em regiões sem acesso ao Google Play, verifique se o aplicativo apresenta sinais de comportamento malicioso antes de instalá-lo.
- Ative o Google Play Protect, pois ele é capaz de detectar e bloquear os APKs identificados pela McAfee nessas campanhas.
