27/03/25
Команда McAfee Mobile Research заметила кампании, использующие .NET MAUI — кроссплатформенный фреймворк от Microsoft — для создания вредоносных приложений, способных оставаться незамеченными на устройствах. Такие программы маскируются под обычные услуги и крадут персональные данные пользователей.
С появлением .NET MAUI разработчики получили возможность создавать приложения не только для Android и iOS, но и для Windows и macOS, пишут в Securitylab. Переход от Xamarin к MAUI, завершённый в мае 2024 года, открыл и новые возможности для киберпреступников. Вместо привычных DEX-файлов и нативных библиотек .NET MAUI использует бинарные «пузырьки» (blobs) в формате C. Поскольку большинство антивирусов анализируют именно традиционные элементы Android-приложений, такой подход позволяет вредоносному коду обходить защиту.
McAfee обнаружила сразу две кампании, в которых использовались такие методы. Первое вредоносное приложение маскируется под сервис популярного индийского банка IndusInd. После запуска программа просит пользователя ввести имя, номер телефона, электронную почту, дату рождения и данные банковского счёта. Вся эта информация передаётся напрямую на сервер злоумышленников.
В этом случае вредоносный код спрятан внутри blob-файлов, размещённых в директории assemblies. Он не виден при анализе Java-кода, что делает приложение особенно опасным для обычных методов проверки. Исходный код на C отвечает за сбор и отправку данных, при этом всё выглядит как обычное банковское приложение.
Второй пример — подделка под социальную сеть, нацеленная на китаеязычную аудиторию. Этот вирус гораздо сложнее: он реализует многоступенчатую динамическую загрузку кода. Сначала расшифровывается XOR-зашифрованный файл, который подгружает второй, защищённый алгоритмом AES. И только на третьем этапе активируется основной вредоносный модуль, скрытый внутри C-компонента MAUI.
Для передачи данных используется зашифрованный TCP-сокет, а не обычные HTTP-запросы, что делает перехват трафика практически невозможным. К тому же приложение добавляет в «AndroidManifest.xml» десятки бессмысленных и случайных разрешений, создавая помехи для инструментов статического анализа. Это серьёзно усложняет работу антивирусов и инструментов реверс-инжиниринга.
Распространяются такие приложения, как правило, через сторонние магазины и по ссылкам в мессенджерах. В Китае, где доступ к Google Play ограничен, такие схемы особенно распространены. Аналитики отмечают, что обнаружено множество других программ — в том числе фальшивые приложения знакомств — построенных по тем же шаблонам. Это указывает на массовое производство подобных вирусов.
Исследователи подчёркивают, что рост числа подобных угроз говорит о серьёзной эволюции в подходах к созданию мобильного вредоносного ПО. Использование .NET MAUI в качестве упаковщика, многослойная загрузка, зашифрованные каналы связи и избыточные разрешения — всё это делает такие вирусы практически невидимыми для традиционных средств защиты.
