Il panorama dei pericoli online su Android ha subito un’evoluzione preoccupante. I rischi continuano ad aumentare con l’emergere di tecniche sempre più sofisticate. Usate per eludere i controlli di sicurezza per la diffusione di malware. Tra i pericoli più recenti, spicca l’utilizzo del framework .NET MAUI di Microsoft. Usato per nascondere codice malevolo all’interno di file binari. Difficili da scovare dai tradizionali strumenti di analisi.
Il framework .NET MAUI è stato introdotto nel 2022. Come successore di Xamarin. Consente agli sviluppatori di creare applicazioni multipiattaforma utilizzando il linguaggio C#. Eppure, tale flessibilità ha anche aperto nuove porte ai cybercriminali. Quest’ultimi sfruttano il fatto che la logica applicativa venga salvata in file binari “blob” piuttosto che nel tradizionale formato DEX, tipico delle app Android sviluppate in Java o Kotlin.
Malware Android: ecco come funziona l’ultima minaccia
Tale approccio rappresenta una grave vulnerabilità. I meccanismi di sicurezza tradizionali sono progettati per analizzare solo i file DEX, trascurando completamente i file blob. Secondo un’analisi condotta dal team di ricerca mobile di McAfee, alcuni gruppi di hacker stanno già impiegando tale tecnica in attacchi mirati. Realizzati principalmente in Cina e India. La strategia però potrebbe facilmente diffondersi a livello globale, rendendo obsoleti molti sistemi di difesa. Le applicazioni infette, spesso distribuite tramite store di terze parti o siti web non ufficiali, includono falsi servizi bancari, app di social media contraffatte e persino strumenti di comunicazione compromessi.
Le minacce basate su .NET MAUI non si limitano alla semplice elusione dei controlli di sicurezza. I ricercatori hanno rilevato l’uso di tecniche avanzate come la crittografia multi-livello con XOR e AES per mascherare le comunicazioni tra il malware e i server di comando e controllo (C2). Inoltre, alcuni attacchi impiegano tecniche di esecuzione in più stadi, rendendo ancora più complesso il processo di rilevamento e analisi del codice dannoso.
Tra le app segnalate come vettori di attacco vi sono repliche di popolari servizi finanziari. Come nel caso dell’app IndusInd, che si presenta come un’app bancaria legittima per ingannare gli utenti e sottrarre informazioni sensibili. Data la gravità della minaccia, gli esperti di sicurezza raccomandano agli utenti di scaricare applicazioni solo da fonti ufficiali come Google Play Store. Inoltre, è consigliabile mantenere attivo Google Play Protect, che può bloccare molte delle minacce già identificate.
Rimani aggiornato seguendoci su Google News!