Les nouvelles campagnes de logiciels malveillants Android utilisent le framework multiplateforme de Microsoft. NET MAUI tout en se déguisant en services légitimes pour échapper à la détection.
La tactique a été observée par l’équipe de recherche mobile de McAfee, membre de l’App Defense Alliance dédiée à l’amélioration de la sécurité Android.
Bien que les applications observées par McAfee ciblent des utilisateurs en Chine et en Inde, il est important de découvrir les attaques car la portée du ciblage pourrait s’élargir et la même tactique pourrait bientôt être adoptée par d’autres cybercriminels.
Utilisation de. NET MAUI sur Android
Lancé en 2022,. NET MAUI est un framework de développement d’applications en C#, introduit par Microsoft en remplacement de Xamarin, prenant en charge à la fois les plates-formes de bureau et mobiles.
En règle générale, les applications Android sont écrites en Java / Kotlin et stockent le code au format DEX, mais il est techniquement possible d’utiliser.NET MAUI pour créer une application Android en C# avec la logique de l’application stockée dans des fichiers blob binaires.
Les outils de sécurité Android contemporains sont conçus pour analyser les fichiers DEX à la recherche de logiques suspectes et n’examinent pas les fichiers blob. Cela permet aux acteurs de la menace de masquer le code malveillant dans les blobs et de contourner la détection.
Cette approche est encore plus préférable que de récupérer du code malveillant après l’installation via des mises à jour, ce qui est la tactique standard avec la plupart des logiciels malveillants Android de nos jours.
Dans ce cas, la tactique est efficace car les applications basées sur C#et les fichiers blob sur Android sont obscurs.
Outre l’utilisation de. NET MAUI, les campagnes observées par McAffee utilisent un cryptage multicouche (XOR + AES) et une exécution par étapes, ‘AndroidManifest.gonflement des fichiers xml avec des chaînes générées aléatoirement et socket TCP pour les communications de commande et de contrôle (C2).
« Avec ces techniques d’évasion, les menaces peuvent rester cachées pendant de longues périodes, ce qui rend l’analyse et la détection beaucoup plus difficiles », prévient McAfee.
« De plus, la découverte de plusieurs variantes utilisant les mêmes techniques de base suggère que ce type de malware devient de plus en plus courant. »
Les fausses applications X volent des données
McAfee a découvert plusieurs fichiers APK dans son rapport dans le cadre des campagnes utilisant la technique. NET MAUI, notamment de fausses applications bancaires, de communication, de rencontres et de médias sociaux telles que X.
Les chercheurs ont utilisé deux applications comme exemples, IndusInd et SNS, qui sont distribuées en dehors de Google Play, la boutique d’applications officielle d’Android.
« En Chine, où l’accès au Google Play Store est restreint, ces applications sont souvent distribuées via des sites Web tiers ou des magasins d’applications alternatifs », explique McAfee.
« Cela permet aux attaquants de diffuser plus facilement leurs logiciels malveillants, en particulier dans les régions où l’accès aux boutiques d’applications officielles est limité. »
Dans le premier cas, l’application se fait passer pour une banque indienne, incitant les utilisateurs à saisir des informations personnelles et financières sensibles et à les exfiltrer vers le serveur C2.
Dans le cas de l’application SNS, qui cible les utilisateurs de langue chinoise, l’application tente de voler des listes de contacts, des SMS et des photos stockées sur l’appareil.
Pour minimiser le risque d’infection par ces applications malveillantes évasives, évitez de télécharger des APK Android à partir de magasins d’applications tiers ou de sites Web obscurs et évitez de cliquer sur les liens reçus par SMS ou e-mail.
Si vous vous trouvez dans des régions où Google Play n’est pas disponible, analysez les fichiers Apk à la recherche de signes malveillants et installez-les uniquement à partir de sites de confiance.
Google Play Protect peut détecter et bloquer les fichiers APK identifiés par McAfee dans le cadre des dernières campagnes, alors assurez-vous qu’il est actif sur votre appareil.