Un nuevo tipo de malware en Android está utilizando el marco de desarrollo multiplataforma .NET MAUI de Microsoft para evadir la detección.
Este marco, lanzado en 2022, permite a los desarrolladores crear aplicaciones en C# para plataformas móviles y de escritorio.
Aunque las aplicaciones de Android normalmente se desarrollan en Java o Kotlin, ahora los atacantes utilizan .NET MAUI para ocultar su código malicioso dentro de archivos binarios (blobs), lo que hace que los sistemas de seguridad no puedan detectarlo, ya que no analizan estos archivos.
Técnicas de evasión utilizadas por el malware ️
El malware observado por McAfee emplea varias técnicas de evasión, como el uso de cifrado múltiple (XOR + AES), la ejecución en etapas, y la manipulación del archivo ‘AndroidManifest.xml’ con cadenas generadas aleatoriamente.
Además, utiliza un socket TCP para la comunicación con el servidor de comando y control (C2). Estas técnicas hacen que el malware permanezca oculto durante largos períodos, dificultando su análisis y detección.
Aplicaciones falsas que roban datos
Entre las aplicaciones maliciosas observadas en esta campaña, se encuentran falsificaciones de aplicaciones bancarias, de comunicación, citas y redes sociales, como “X”.
Los atacantes logran engañar a los usuarios para que ingresen información personal y financiera sensible o para robar contactos, mensajes de texto y fotos almacenadas en los dispositivos.
¿Dónde se distribuye este malware?
En lugares como China e India, donde el acceso a Google Play puede estar restringido, los atacantes distribuyen sus aplicaciones maliciosas a través de sitios web de terceros o tiendas de aplicaciones alternativas.
Esto facilita la propagación del malware en regiones con acceso limitado a las tiendas oficiales de aplicaciones.
Ejemplos de aplicaciones maliciosas
McAfee identificó ejemplos de dos aplicaciones maliciosas, como “IndusInd” y “SNS”, que se distribuyen fuera de Google Play. En el caso de “IndusInd”, la aplicación se hace pasar por un banco indio y roba información financiera.
En el caso de “SNS”, dirigida a usuarios de habla china, intenta robar contactos, mensajes de texto y fotos almacenadas en el dispositivo.
¿Cómo protegerse de este malware?
Para reducir el riesgo de infección por estas aplicaciones evasivas, evita descargar APKs de tiendas de aplicaciones de terceros o sitios web no confiables.
También es importante no hacer clic en enlaces recibidos por SMS o correo electrónico. Si vives en una región donde Google Play no está disponible, asegúrate de escanear los APKs antes de instalarlos y de descargarlos solo desde sitios de confianza.
Protección adicional ️
Google Play Protect puede detectar y bloquear las aplicaciones APK maliciosas identificadas por McAfee, por lo que es fundamental asegurarse de que esta función esté activa en tu dispositivo para protegerte de estos ataques.