Un’allerta crescente nel mondo della sicurezza informatica ha messo in evidenza come le minacce per i dispositivi Android stiano assumendo forme sempre più sofisticate. Recenti studi del team di ricerca mobile di McAfee hanno rivelato l’uso del framework .NET MAUI di Microsoft da parte di cybercriminali, che sfruttano questa tecnologia per eludere i tradizionali sistemi di sicurezza. Le tecniche di attacco sono attualmente concentrate in aree come la Cina e l’India, ma il timore è che possano espandersi rapidamente a livello globale, rappresentando un grave rischio per gli utenti.
Indice dei contenuti
Il framework .NET MAUI e il suo utilizzo nel malware
.NET MAUI, lanciato nel 2022 come successore di Xamarin, consente lo sviluppo di applicazioni multiplatform utilizzando C#. A differenza delle consuete app Android, sviluppate in Java o Kotlin e archiviate in formato DEX, le applicazioni create con .NET MAUI salvano la logica applicativa in file binari chiamati “blob”. Questa particolarità tecnica risulta estremamente vantaggiosa per i malintenzionati, poiché i sistemi di sicurezza attualmente in uso analizzano solo i file DEX, escludendo completamente i blob.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
Questa mancanza di attenzione nei confronti di file binari poco noti consente ai malware di bypassare le difese standard. I cybercriminali possono, così, distribuire malware già completo e pronto all’installazione, causandone la diffusione senza destare sospetti. Di conseguenza, le applicazioni scritte in C# e i file blob rimangono spesso al di fuori dei controlli di sicurezza, rendendo questa tecnica di evasione particolarmente efficace.
Tecniche di evasione avanzate
McAfee ha identificato che le campagne di malware non si limitano all’uso di .NET MAUI, ma includono anche approcci di evasione sofisticati. Tra queste tecniche ci sono, ad esempio, la crittografia multi-livello, che combina metodi come XOR e AES, e l’esecuzione a più stadi. Inoltre, i malware stabiliscono comunicazioni con server di comando e controllo attraverso socket TCP, rendendo l’analisi più complicata.
In particolare, un metodo noto come “gonfiaggio” del file AndroidManifest.xml con stringhe casuali rende difficile individuare pattern malevoli. McAfee sottolinea come queste tecniche permettano ai malware di rimanere sotto traccia per periodi prolungati, rendendo molto arduo il loro rilevamento.
Campagne e distribuzione di applicazioni malevole
I ricercatori di McAfee hanno rintracciato una serie di applicazioni Android legate a queste campagne, compresi falsi software bancari, app di messaggistica, dating e social media. Un esempio emblematico è quello di un’app che si spaccia per X , progettata per rubare credenziali e dati personali. Due casi di studio approfonditi includono le app IndusInd e SNS. La prima si presenta come l’app ufficiale di una banca indiana, ingannando gli utenti a fornire informazioni sensibili che finiscono nei server degli attaccanti.
Dall’altra parte, l’app SNS, rivolta agli utenti di lingua cinese, mira a rubare la rubrica dei contatti, i messaggi SMS e persino fotografie memorizzate nel dispositivo, costituendo una grave violazione della privacy.
Queste applicazioni insidiose vengono prevalentemente distribuite al di fuori del Google Play Store, tramite store alternativi o siti web poco affidabili. La situazione è particolarmente critica in Cina, dove gli utenti, impossibilitati ad accedere al Google Play, fanno ricorso a fonti non verificate. Questo contesto favorisce la diffusione dei malware, creando un terreno favorevole per gli attaccanti, specialmente nelle aree con limitato accesso agli store ufficiali.
Come proteggersi da questo nuovo genere di malware
Per difendersi da questo tipo di malware, è essenziale evitare di scaricare APK Android da store non ufficiali o siti web sospetti. Inoltre, non è consigliabile cliccare su link ricevuti tramite SMS o email da fonti sconosciute.
Per coloro che si trovano in regioni dove Google Play non è disponibile, è buona prassi effettuare una scansione degli APK prima dell’installazione e scaricare applicazioni solo da fonti affidabili. Attivare Google Play Protect è fondamentale, in quanto può rilevare e bloccare APK identificati da McAfee in queste campagne, garantendo così una maggiore protezione per gli utenti.
