Хакеры применяют .NET MAUI от Microsoft для обхода обнаружения в атаках на Android

Вредоносные кампании против пользователей Android обретают новую форму. Группа мобильных исследований компании McAfee выявила применение кроссплатформенной среды .NET MAUI в атаках, замаскированных под законные сервисы. По данным специалистов, эта стратегия помогает вредоносным приложениям ускользать от стандартных механизмов защиты.

McAfee, входящая в альянс App Defense Alliance, специализируется на защите Android-среды. По наблюдениям экспертов, вредоносные программы, использующие новый подход, нацелены прежде всего на пользователей в Индии и Китае. Тем не менее, в компании подчёркивают, что методы, применяемые в атаках, могут быть быстро адаптированы к другим регионам и начать распространяться по всему миру.

Фреймворк .NET MAUI, представленный Microsoft в 2022 году, изначально задумывался как преемник Xamarin. Он даёт разработчикам возможность создавать приложения на языке C#, которые работают на разных устройствах — от компьютеров до мобильных телефонов. В обычной практике Android-программы разрабатываются на Java или Kotlin, а их код сохраняется в формате DEX. В случае с .NET MAUI используется другой формат: логика приложения записывается в бинарные объекты (BLOB-файлы), которые не анализируются стандартными средствами защиты Android.

Эксперты McAfee объясняют, что большинство систем безопасности настроено на проверку DEX-файлов. А вот двоичные объекты остаются вне поля зрения. Это открывает хакерам возможность встраивать вредоносный код в формате, который защитные механизмы попросту игнорируют. Такой подход эффективнее, чем классическая загрузка вредоносных компонентов после установки через обновления, которая сейчас считается распространённой тактикой среди киберпреступников.

Специалисты подчёркивают, что использование C# в Android-среде до сих пор встречается крайне редко. Это даёт вредоносным программам ещё одно преимущество — незаметность. Программы, собранные с помощью .NET MAUI, не вызывают подозрений, поскольку применяемая технология пока не получила широкого распространения на мобильных платформах.

Кроме обхода стандартных систем анализа, вредоносные кампании, обнаруженные McAfee, демонстрируют комплексный подход к сокрытию следов. В их арсенале — сочетание шифрования XOR и AES, пошаговое выполнение кода, заполнение системного файла «AndroidManifest.xml» случайным набором строк и использование TCP-соединений для связи с управляющими серверами.