Кибер аюулгүй байдлын судлаачид энэтхэг болон хятад хэлээр ярьдаг хэрэглэгчдэд чиглэсэн хуурамч банк болон сошиал медиа аппликейшнуудыг бий болгохын тулд Microsoft-ын .NET Multi-platform App UI (.NET MAUI) хүрээг ашиглан Android-д зориулсан хортой програмын кампанит ажилд анхаарлаа хандуулж байна.
McAfee Labs-ийн судлаач Декстер Шин хэлэхдээ, "Эдгээр аюул занал нь өөрсдийгөө хууль ёсны програмын дүрд хувиргаж, хэрэглэгчдэд нууц мэдээллийг хулгайлах зорилготой" гэж хэлэв.
.NET MAUI нь Microsoft-ын C# болон XAML ашиглан уугуул програмуудыг бүтээхэд зориулагдсан кросс платформ ширээний болон гар утасны програмын хүрээ юм. Энэ нь Xamarin-ийн хувьслыг илэрхийлдэг бөгөөд зөвхөн нэг төсөл ашиглан олон платформын програм үүсгэх төдийгүй шаардлагатай үед платформд зориулсан эх кодыг багтаах нэмэлт боломжуудтай.
Xamarin-д зориулсан албан ёсны дэмжлэг 2024 оны 5-р сарын 1-нд дуусч, технологийн аварга хөгжүүлэгчдийг .NET MAUI руу шилжихийг уриалсан гэдгийг тэмдэглэх нь зүйтэй.
Xamarin ашиглан хэрэгжүүлсэн Android-д хортой программ хангамжийг өмнө нь илрүүлж байсан ч хамгийн сүүлийн үеийн хөгжүүлэлт нь аюул заналхийлэгчид .NET MAUI ашиглан шинэ хортой програм хөгжүүлж, тактикаа дасан зохицож, сайжруулсаар байгааг харуулж байна.
"Эдгээр програмууд нь үндсэн функцуудыг бүхэлд нь C# хэл дээр бичиж, blob хоёртын файл хэлбэрээр хадгалдаг" гэж Шин хэлэв. "Энэ нь уламжлалт Android програмуудаас ялгаатай нь тэдгээрийн функцууд нь DEX файлууд эсвэл эх номын санд байдаггүй гэсэн үг юм."
Энэ нь .NET MAUI нь савлагчийн үүрэг гүйцэтгэж, хорлонтой олдворуудыг илрүүлэхээс зайлсхийж, хохирогчийн төхөөрөмжүүдэд удаан хугацаагаар үлдэх боломжийг олгодог тул аюул заналхийлэгчдэд шинэ давуу талыг олгож байна.
FakeApp код нэртэй .NET MAUI-д суурилсан Android програмууд болон тэдгээртэй холбоотой багцын нэрсийг доор жагсаав -
- X (pkPrIg.cljOBO)
- 迷城 (pCDhCg.cEOngl)
- X (pdhe3s.cXbDXZ)
- X (ppl74T.cgDdFK)
- Cupid (pommNC.csTgAT)
- X (pINUNU.cbb8AK)
- 私密相册 (pBOnCi.cUVNXz)
- X•GDN (pgkhe9.ckJo4P)
- 迷城 (pCDhCg.cEOngl)
- 小宇宙 (p9Z2Ej.cplkQv)
- X (pDxAtR.c9C6j7)
- 迷城 (pg92Li.cdbrQ7)
- 依恋 (pZQA70.cFzO30)
- 慢夜 (pAQPSN.CcF9N3)
- indus credit card (indus.credit.card)
- Indusind Card (com.rewardz.card)
Эдгээр програмуудыг Google Play-д түгээсэн гэсэн нотолгоо байхгүй байна. Харин тархалтын гол вектор нь хэрэглэгчдийг өөрийн мэдэлгүй хүлээн авагчдыг албан бус програмын дэлгүүрүүд рүү чиглүүлдэг мессежийн программуудаар дамжуулан илгээсэн хуурамч холбоосууд дээр дарахад хүргэдэг.
McAfee-ийн онцолсон нэг жишээнд, уг программ нь бүтэн нэр, гар утасны дугаар, имэйл хаяг, төрсөн он, сар, өдөр, оршин суугаа хаяг, зээлийн картын дугаар, засгийн газраас олгосон таних тэмдэг зэрэг хэрэглэгчдийн нууц мэдээллийг цуглуулах Энэтхэгийн санхүүгийн байгууллага мэтээр хувирдаг.
Өөр нэг програм нь хохирогчийн төхөөрөмжөөс харилцагчид, SMS мессеж, зургийг хулгайлахын тулд олон нийтийн мэдээллийн хэрэгслийн X сайтыг дуурайдаг. Энэхүү програм нь гуравдагч этгээдийн вэбсайт эсвэл өөр програмын дэлгүүрээр дамжуулан Хятад хэлээр ярьдаг хэрэглэгчдэд зориулагдсан болно.
Шифрлэгдсэн залгуур холболтыг ашиглан цуглуулсан өгөгдлийг команд-хяналтын (C2) сервер рүү дамжуулахын зэрэгцээ шинжилгээний хэрэгслүүдийг эвдэх зорилгоор AndroidManifest.xml файлд (жишээ нь, "android.permission.LhSSzIw6q") хэд хэдэн утгагүй зөвшөөрлийг агуулсан хортой програм ажиглагдсан.
Илрүүлэхгүй байхын тулд мөн олон үе шаттай динамик ачаалах техникийг ашигладаг бөгөөд энэ нь AES шифрлэгдсэн ачааллыг эхлүүлэх үүрэгтэй XOR-шифрлэгдсэн дуудагчийг ашигладаг бөгөөд энэ нь эргээд хортой програмыг ажиллуулахад зориулагдсан .NET MAUI угсралтыг ачаалдаг.
Шин хэлэхдээ "Үндсэн ачаа нь эцэстээ C# код дотор нуугдаж байна" гэж хэлэв. "Хэрэглэгч товчлуур дарах гэх мэт програмтай харьцах үед хортой програм нь тэдний өгөгдлийг чимээгүйхэн хулгайлж, C2 сервер рүү илгээдэг."
https://thehackernews.com/2025/03/hackers-use-net-maui-to-target-indian.html
