Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Fausses applications Android .NET MAUI

Fausses applications Android .NET MAUI

Par Mezo en Logiciels malveillants mobiles
Se traduisent par :
Français

Des experts en cybersécurité ont découvert une nouvelle campagne de malwares Android exploitant le framework .NET Multi-platform App UI (.NET MAUI) de Microsoft. Se faisant passer pour des applications bancaires et de réseaux sociaux, ces applications menaçantes ciblent principalement les utilisateurs indiens et sinophones et cherchent à collecter des informations sensibles.

Qu’est-ce que .NET MAUI et pourquoi est-il utilisé ?

.NET MAUI est le framework multiplateforme de Microsoft pour le développement d'applications natives utilisant C# et XAML. Évoluant à partir de Xamarin, il offre aux développeurs un moyen simplifié de créer des applications multiplateformes avec un seul projet, tout en autorisant le code spécifique à chaque plateforme si nécessaire.

Il convient de noter que Microsoft a officiellement mis fin au support de Xamarin le 1er mai 2024, encourageant les développeurs à migrer vers .NET MAUI. Les acteurs malveillants se sont rapidement adaptés, exploitant ce framework pour développer de nouveaux malwares Android, poursuivant ainsi leur tendance à affiner et à faire évoluer leurs méthodes d'attaque.

Comment .NET MAUI aide les logiciels malveillants à échapper à la détection

Contrairement aux applications Android traditionnelles, qui s'appuient sur des fichiers DEX et des bibliothèques natives, le malware basé sur .NET MAUI stocke ses fonctionnalités principales dans des binaires blob C#. Cela complique la détection, car le framework agit comme un packer qui permet au malware de persister sans être détecté sur les appareils des victimes.

En utilisant .NET MAUI, les cybercriminels bénéficient de plusieurs avantages :

  • Mode furtif : le code corrompu est caché dans les binaires C#, ce qui le rend plus difficile à analyser.
  • Persistance étendue : le logiciel malveillant reste plus longtemps sur les appareils infectés sans déclencher d'alertes de sécurité.
  • Tactiques d'évasion : L'architecture non conventionnelle permet de contourner les analyses de sécurité traditionnelles.

De fausses applications bancaires et de réseaux sociaux identifiées

Des chercheurs ont identifié plusieurs applications frauduleuses utilisant .NET MAUI, collectivement appelées FakeApp. Parmi les fausses applications les plus connues, on trouve :

Fausses applications bancaires :

Carte de crédit Indus (indus.credit.card)

Carte Indusind (com.rewardz.card)

Faux médias sociaux et applications utilitaires :

Cupidon (pommNC.csTgAT)

X•GDN (pgkhe9.ckJo4P)

迷城 (Míchéng) (pCDhCg.cEOngl)

私密相册 (Album privé) (pBOnCi.cUVNXz)

小宇宙 (Petit Univers) (p9Z2Ej.cplkQv)

Ces applications incitent les utilisateurs à les installer, puis extraient et transmettent silencieusement leurs données personnelles à un serveur contrôlé par un attaquant.

Comment les utilisateurs sont trompés

Contrairement aux applications légitimes distribuées sur Google Play, ces fausses applications utilisent des tactiques trompeuses pour leur diffusion. Les attaquants envoient des liens frauduleux via des applications de messagerie, redirigeant les utilisateurs vers des boutiques d'applications non officielles où ils téléchargent sans le savoir le logiciel malveillant.

Par exemple:

  • Une fausse application bancaire se fait passer pour une institution financière indienne pour voler les noms complets des utilisateurs, leurs numéros de téléphone portable, les détails de leur carte de crédit et les pièces d'identité émises par le gouvernement.
  • Une application de médias sociaux frauduleuse imitant « X » (anciennement Twitter) collecte des contacts, des messages SMS et des photos, ciblant les utilisateurs parlant chinois.

Les techniques d’évasion avancées utilisées

Pour éviter d’être détecté, le malware utilise plusieurs techniques sophistiquées :

  • Transmission de données cryptées : les données collectées sont envoyées à un serveur de commande et de contrôle (C2) à l'aide d'une communication de socket cryptée.
  • Fausses autorisations : le logiciel malveillant injecte des autorisations dénuées de sens (par exemple, « android.permission.LhSSzIw6q ») dans le fichier AndroidManifest.xml pour perturber les outils d'analyse.
  • Chargement dynamique en plusieurs étapes : il utilise un chargeur crypté XOR pour lancer une charge utile cryptée AES, qui charge ensuite les assemblys .NET MAUI contenant le malware réel.
  • L'interaction utilisateur déclenche des actions malveillantes : la charge utile principale reste masquée dans le code C# et ne s'active que lorsque l'utilisateur interagit avec l'application (par exemple, en appuyant sur un bouton). À ce stade, elle vole silencieusement des données et les transmet au serveur C2.

Comment rester en sécurité

Compte tenu de la sophistication croissante de ces attaques, les utilisateurs doivent prendre des mesures proactives pour se protéger :

  • Évitez les magasins d’applications tiers – Téléchargez uniquement des applications à partir de Google Play ou de sources fiables.
  • Vérifiez les autorisations des applications – Méfiez-vous des applications qui demandent des autorisations inutiles.
  • Restez vigilant face aux liens d’hameçonnage – Ne cliquez pas sur les liens suspects dans les messages.
  • Utilisez un logiciel anti-malware – Installez une solution de sécurité mobile fiable pour détecter et supprimer les menaces potentielles.

Les cybercriminels faisant évoluer en permanence leurs tactiques, rester informé et prudent est la meilleure défense contre ces menaces émergentes.

Tendance

Le plus regardé

Chargement...