Neue Android-Malware-Kampagnen entgehen der Erkennung mithilfe des plattformübergreifenden Frameworks .NET MAUI

Neue Android-Malware-Kampagnen nutzen Microsofts plattformübergreifendes Framework .NET MAUI und tarnen sich als legitime Dienste, um unentdeckt zu bleiben. Diese Methode wurde vom McAfee Mobile Research Team entdeckt, das als Teil der App Defense Alliance zur Verbesserung der Android-Sicherheit beiträgt. Obwohl die beobachteten Apps derzeit vor allem Nutzer in China und Indien ins Visier nehmen, ist es entscheidend, diese Bedrohung aufzudecken. Die Angriffe könnten sich ausweiten, und es ist möglich, dass auch andere Cyberkriminelle diese Technik künftig nutzen.

In den letzten Jahren haben plattformübergreifende Entwicklungs-Frameworks für mobile Anwendungen stark an Bedeutung gewonnen. Entwickler setzen zunehmend auf Tools wie Flutter und React Native, um Apps zu erstellen, die sowohl unter Android als auch iOS laufen. Microsoft hat mit Xamarin ein C#-basiertes Framework bereitgestellt, das in diesem Bereich weit verbreitet ist. Aufgrund seiner Popularität wurde es jedoch auch von Cyberkriminellen zur Entwicklung von Schadsoftware missbraucht. Tatsächlich wurden bereits Malware-Beispiele entdeckt, die mit Xamarin entwickelt wurden. Allerdings hat Microsoft den Support für Xamarin im Mai 2024 eingestellt und es durch .NET MAUI ersetzt.

Im Gegensatz zu Xamarin unterstützt .NET MAUI nicht nur mobile Plattformen, sondern auch Windows und macOS. Zudem basiert es auf .NET 6+ und löst den älteren .NET-Standard ab. Durch eine neue, handler-basierte Architektur anstelle von benutzerdefinierten Renderern bietet .NET MAUI zudem erhebliche Leistungsverbesserungen.

Mit der Weiterentwicklung technologischer Standards passen sich auch Cyberkriminelle an. Jüngste Entdeckungen zeigen, dass Malware-Autoren .NET MAUI nutzen, um Android-Schadsoftware zu entwickeln. Diese Anwendungen sind vollständig in C# programmiert und ihre Kernfunktionen werden als Blob-Binärdateien gespeichert, anstatt in den üblichen DEX-Dateien oder nativen Bibliotheken von Android vorzuliegen. Da viele Antivirenprogramme primär diese traditionellen Komponenten analysieren, kann .NET MAUI als eine Art Packer fungieren, der Malware vor Erkennung schützt und ihre Verweildauer auf infizierten Geräten verlängert.

In den nächsten Abschnitten werden zwei spezifische Android-Malware-Kampagnen vorgestellt, die .NET MAUI verwenden, um Sicherheitsmechanismen zu umgehen. Diese Bedrohungen tarnen sich als legitime Anwendungen und zielen darauf ab, vertrauliche Nutzerdaten zu stehlen. Wir analysieren ihr Funktionsprinzip und bewerten ihre potenzielle Gefahr für die mobile Sicherheit.

Technische Erkenntnisse

Wir haben zwar mehrere Versionen dieser schädlichen Apps gefunden, aber die folgenden zwei Beispiele sollen zeigen, wie sie sich der Erkennung entziehen.

Zunächst einmal: Wo finden Benutzer diese schädlichen Apps? Häufig werden diese Apps über inoffizielle App-Stores verbreitet. Benutzer werden in der Regel durch Klicken auf Phishing-Links, die von nicht vertrauenswürdigen Quellen in Messaging-Gruppen oder Textnachrichten bereitgestellt werden, zu solchen Stores weitergeleitet. Aus diesem Grund empfehlen wir bei McAfee, dass Benutzer nicht auf nicht vertrauenswürdige Links klicken sollten.

Beispiel 1: Gefälschte Bank-App

Die erste gefälschte App, die wir gefunden haben, tarnt sich als IndusInd Bank und richtet sich speziell an indische Benutzer. Wenn ein Benutzer die App startet, wird er aufgefordert, persönliche und finanzielle Daten wie Name, Telefonnummer, E-Mail-Adresse, Geburtsdatum und Bankdaten einzugeben. Sobald der Benutzer diese Daten übermittelt, werden sie sofort an den C2-Server (Command and Control) des Angreifers gesendet.

 

Abbildung 1. Bildschirm der gefälschten IndusInd Bank-App, auf dem Benutzerdaten abgefragt werden

Wie bereits erwähnt, handelt es sich hierbei nicht um eine herkömmliche Android-Malware. Im Gegensatz zu typischen schädlichen Apps gibt es keine offensichtlichen Spuren von schädlichem Code im Java- oder nativen Code. Stattdessen ist der schädliche Code in Blob-Dateien versteckt, die sich im Verzeichnis „Assemblies“ befinden. 

Abbildung 2. Blob enthält bösartigen Code

Der folgende Codeausschnitt zeigt, wie die App Benutzerdaten sammelt und an den C2-Server überträgt. Basierend auf dem Code strukturiert die App die erforderlichen Informationen als Parameter, bevor sie an den C2-Server gesendet werden.

Abbildung 3. C#-Code, der für den Diebstahl von Benutzerdaten und deren Übermittlung an den C2-Server verantwortlich ist

Beispiel 2: Gefälschte SNS-App

Im Gegensatz zur ersten gefälschten App ist diese zweite Malware für Sicherheitssoftware noch schwieriger zu analysieren. Sie zielt speziell auf chinesischsprachige Benutzer ab und versucht, Kontakte, SMS-Nachrichten und Fotos von ihren Geräten zu stehlen. In China, wo der Zugang zum Google Play Store eingeschränkt ist, werden solche Apps oft über Websites von Drittanbietern oder alternative App-Stores verbreitet. Dies ermöglicht es Angreifern, ihre Malware leichter zu verbreiten, insbesondere in Regionen mit eingeschränktem Zugang zu offiziellen App-Stores.

Abbildung 4: Verbreitungsseite und gefälschte X-App, die auf chinesischsprachige Benutzer abzielt

Eine der wichtigsten Techniken, mit denen diese Malware unentdeckt bleibt, ist das mehrstufige dynamische Laden. Anstatt ihre bösartige Nutzlast direkt in einem leicht zugänglichen Format einzubetten, verschlüsselt sie ihre DEX-Dateien und lädt sie in drei separaten Stufen, was die Analyse erheblich erschwert.

In der ersten Stufe entschlüsselt die Hauptaktivität der App, die in AndroidManifest.xml definiert ist, eine XOR-verschlüsselte Datei und lädt sie dynamisch. Diese erste Datei dient als Loader für die nächste Stufe. In der zweiten Stufe entschlüsselt die dynamisch geladene Datei eine weitere AES-verschlüsselte Datei und lädt sie. Diese zweite Stufe offenbart noch immer nicht das eigentliche schädliche Verhalten, dient aber als weitere Verschleierungsebene. In der dritten Stufe schließlich enthält die entschlüsselte Datei Code, der mit dem .NET MAUI-Framework zusammenhängt, das dann geladen wird, um die Hauptnutzlast auszuführen.

Abbildung 5: Mehrstufige dynamische Belastung

Die Hauptnutzlast ist letztlich im C#-Code verborgen. Wenn der Benutzer mit der App interagiert, z. B. eine Taste drückt, stiehlt die Malware unbemerkt seine Daten und sendet sie an den C2-Server.

Abbildung 6. C#-Code, der für den Diebstahl von Bildern, Kontakten und SMS-Daten verantwortlich ist

Neben dem mehrstufigen dynamischen Laden verwendet diese Malware auch zusätzliche Tricks, um die Analyse zu erschweren. Eine Technik besteht darin, die Datei „AndroidManifest.xml“ zu manipulieren, indem eine übermäßige Anzahl unnötiger Berechtigungen hinzugefügt wird. Diese Berechtigungen enthalten große Mengen bedeutungsloser, zufällig generierter Zeichenfolgen, die bei bestimmten Analysetools zu Fehlern führen können. Diese Taktik hilft der Malware, der Erkennung zu entgehen, indem sie automatisierte Scanner und statische Analysen stört.

 Abbildung 7. AndroidManifest.xml-Datei mit übermäßig vielen zufälligen Berechtigungen

Eine weitere wichtige Technik ist die verschlüsselte Socket-Kommunikation. Anstatt Standard-HTTP-Anfragen zu verwenden, die sich leichter abfangen lassen, nutzt die Malware TCP-Socket-Verbindungen zur Datenübertragung. Dieser Ansatz erschwert es herkömmlichen HTTP-Proxy-Tools, den Netzwerkverkehr zu erfassen. Darüber hinaus verschlüsselt die Malware die Daten vor dem Senden, sodass selbst bei einem Abfangen der Pakete deren Inhalt unlesbar bleibt.

Ein weiterer wichtiger Aspekt ist, dass diese Malware verschiedene Themen aufgreift, um Nutzer anzulocken. Neben der gefälschten X-App haben wir auch mehrere Dating-Apps entdeckt, die dieselben Techniken verwenden. Diese Apps hatten unterschiedliche Hintergrundbilder, aber dieselbe Struktur und Funktionalität, was darauf hindeutet, dass sie wahrscheinlich vom selben Entwickler wie die gefälschte X-App erstellt wurden. Das ständige Aufkommen ähnlicher Apps deutet darauf hin, dass diese Malware unter chinesischsprachigen Nutzern weit verbreitet ist. 

Abbildung 8: Verschiedene gefälschte Apps, die dieselbe Technik verwenden

Empfehlungen und Fazit

Die Zunahme von .NET MAUI-basierter Malware zeigt, wie Cyberkriminelle ihre Techniken weiterentwickeln, um nicht entdeckt zu werden. Zu den beschriebenen Techniken gehören:

• Verstecken von Code-Blobs in Baugruppen

• mehrstufiges dynamisches Laden

• verschlüsselte Kommunikation

• übermäßige Verschleierung

Mit diesen Umgehungstechniken können die Bedrohungen über lange Zeiträume verborgen bleiben, was die Analyse und Erkennung erheblich erschwert. Darüber hinaus deutet die Entdeckung mehrerer Varianten, die dieselben Kerntechniken verwenden, darauf hin, dass diese Art von Malware immer häufiger auftritt.

Benutzer sollten beim Herunterladen und Installieren von Apps aus inoffiziellen Quellen immer vorsichtig sein, da diese Plattformen häufig von Angreifern zur Verbreitung von Malware genutzt werden. Dies ist besonders in Ländern wie China besorgniserregend, in denen der Zugang zu offiziellen App-Stores eingeschränkt ist, wodurch Benutzer anfälliger für solche Bedrohungen sind.

Um mit der rasanten Entwicklung der Taktiken von Cyberkriminellen Schritt zu halten, wird Benutzern dringend empfohlen, Sicherheitssoftware auf ihren Geräten zu installieren und diese stets auf dem neuesten Stand zu halten. Wachsamkeit und Sicherheitsmaßnahmen können vor neu auftretenden Bedrohungen schützen. Durch die Verwendung von McAfee Mobile Security können Benutzer den Schutz ihrer Geräte verbessern und Bedrohungen im Zusammenhang mit dieser Art von Malware in Echtzeit erkennen.

Quelle: McAfee-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html