McAfeeのサイバーセキュリティ研究者は、クロスプラットフォーム開発フレームワークである.NET MAUIを悪用して検知を回避し、ユーザーの機微な情報を盗み取る新たなAndroidマルウェアキャンペーンの波を特定しました。
これらの悪意あるアプリケーションは正規のサービスを装い、モバイルセキュリティに重大なリスクをもたらします。
.NET MAUIがどのように悪用されているか
FlutterやReact Nativeのようなクロスプラットフォーム開発フレームワークは、AndroidとiOSの両方で動作するアプリケーションを構築できることから、開発者の間で人気を集めています。
MicrosoftはXamarinの後継として.NET MAUIを導入し、パフォーマンス向上のために.NET 6+を活用しつつ、WindowsとmacOSへの対応も拡大しました。
McAfeeによると、サイバー犯罪者は現在、.NET MAUIのアーキテクチャを悪用するよう適応し、主要機能をすべてC#で記述し、バイナリラージオブジェクト(blob)として保存したマルウェアを作成しています。この手法により、DEXファイルやネイティブライブラリを解析する従来の検知手法から悪意あるコードを隠蔽できます。
このマルウェアの一例として、IndusInd Bankを装い、インドのユーザーを標的とする不正な銀行アプリがあります。起動すると、氏名、電話番号、メールアドレス、生年月日、銀行の認証情報など、個人情報および金融情報の入力を促します。これらのデータはその後、攻撃者のコマンド&コントロール(C2)サーバーへ直接送信されます。
一般的なAndroidマルウェアとは異なり、このアプリはJavaやネイティブコンポーネント内に有害なコードを含まず、代わりにassembliesディレクトリ内のblobファイルに悪意ある要素を隠しています。
別の事例では、中国語話者のユーザーを狙った偽のソーシャルネットワーキングサービス(SNS)アプリが確認されています。このマルウェアは多段階の動的ロードを用い、ペイロードを3つの独立した段階で復号して実行することで、解析を著しく困難にしています。
さらに、AndroidManifest.xmlファイルを操作し、過剰でランダム生成された権限を追加してセキュリティツールを妨害します。また、TCP接続上で暗号化されたソケット通信を使用して盗んだデータを送信し、傍受をより困難にしています。
Androidマルウェアについて詳しく読む:ToxicPandaマルウェアがAndroid端末の銀行アプリを標的に
脅威の軽減
これらの調査結果は、サイバー犯罪者が従来のセキュリティ対策を回避するために手口を進化させていることを浮き彫りにしています。
感染リスクを低減するために、モバイルユーザーは次の予防策を検討すべきです:
- Google Playなどの公式アプリストアからのみアプリをダウンロードする
- 不要な権限を要求するアプリケーションには注意する
- セキュリティソフトを使用して潜在的な脅威を検知・ブロックする
McAfeeは「サイバー犯罪者の戦術が急速に進化している状況に追随するため、ユーザーにはデバイスにセキュリティソフトをインストールし、常に最新の状態に保つことを強く推奨します」と付け加えました。「警戒を怠らず、セキュリティ対策が講じられていることを確認することで、新たに出現する脅威から身を守る助けになります。」
翻訳元: https://www.infosecurity-magazine.com/news/android-malware-uses-net-maui/
