Onderzoekers van het McAfee Mobile Research Team hebben ontdekt dat cybercriminelen .NET MAUI (Multi-platform App User Interface) misbruiken om malware te verspreiden. Deze aanvallers verbergen hun kwaadaardige code in blob files, waardoor traditionele securityoplossingen moeite hebben om de malware te detecteren.
.NET MAUI is de opvolger van Xamarin, dat is gebaseerd op de programmeertaal C#. Eerstgenoemde is al populair onder gebruikers van Flutter en React Native voor het bouwen van iOS- en Android-apps. De ondersteuning is inmiddels uitgebreid naar Windows en macOS. Dat alles klinkt positief, maar voor het verhullen van malware blijkt .NET MAUI dus ook daadkrachtig.
Verborgen in blob-bestanden
De onderzoekers ontdekten dat de malware-campagnes hun kernfunctionaliteiten volledig in C# schrijven en opslaan als blob-binaries. In tegenstelling tot traditionele Android-apps bevindt de functionaliteit zich niet in DEX-bestanden of native libraries. Antivirus-oplossingen kijken regelmatig enkel naar deze onderdelen om malware te detecteren. Onderzoek van medio 2024 onthulde dat meer dan de helft van alle phishing-aanvallen alle bestaande beveiligingslagen weet te passeren, dus dit is geen nieuw fenomeen.
Voorbeelden van aanvallen
McAfee beschrijft twee voorbeelden van deze malware. De eerste is een fopversie van een bankier-app. Deze doet zich voor als IndusInd Bank en mikt dus op Indiase gebruikers. Wanneer gebruikers persoonlijke en financiële gegevens invoeren, worden deze direct naar de aanvaller gestuurd.
Het tweede voorbeeld is een zogenaamde social media-app gericht op Chinees-sprekende gebruikers. Deze malware gebruikt een complexere aanpak. McAfee spreekt over multi-stage dynamic loading, waarin elke fase de loader voor de volgende stap prepareert. De app steelt contacten, sms-berichten en foto’s van het apparaat van het slachtoffer en verzendt deze via versleutelde socketcommunicatie naar de aanvallers.
Geavanceerde ontwijkingstechnieken
Naast het verbergen van code in blob files, gebruikt de malware die door McAfee is bestudeerd, meerdere technieken om detectie te vermijden:
Een tweede malware-variant laadt zijn kwaadaardige payload in drie afzonderlijke stadia, waarbij elke fase een nieuwe versleutelde component decrypteert. Daarnaast manipuleert de malware het AndroidManifest.xml-bestand door een enorm aantal onnodige machtigingen toe te voegen met willekeurig gegenereerde strings, wat fouten veroorzaakt in bepaalde analysetools. Zo verstoort het de softwarescanners die al eerder op het verkeerde been zijn gezet.
Bescherming tegen deze dreigingen
Volgens McAfee detecteert hun Mobile Security-product deze apps als Android/FakeApp. Het bedrijf adviseert gebruikers om geen apps te downloaden van onofficiële bronnen en geen onbetrouwbare links aan te klikken. Daarnaast prijst het zichzelf aan als redder in nood; vooralsnog is de schade regionaal van aard, maar het risico kan zich zomaar verder verspreiden dan India en China.
Mocht dat gebeuren, dan moeten organisaties zich hier opnieuw de borst nat maken. Zonder training trapt een derde van de Europeanen in phishing.