Investigadores de ciberseguridad de McAfee han identificado una nueva ola de campañas de malware para Android que aprovechan .NET MAUI, un marco de desarrollo multiplataforma, para evadir la detección y robar información confidencial de los usuarios.
Estas aplicaciones maliciosas se disfrazan de servicios legítimos, lo que supone importantes riesgos para la seguridad móvil.
Los marcos de desarrollo multiplataforma como Flutter y React Native han ganado popularidad entre los desarrolladores para crear aplicaciones que funcionan tanto en Android como en iOS.
Microsoft presentó .NET MAUI como sucesor de Xamarin, ampliando la compatibilidad con Windows y macOS, a la vez que utiliza .NET 6+ para un mejor rendimiento.
Según McAfee, los ciberdelincuentes se han adaptado explotando la arquitectura de .NET MAUI para crear malware con funcionalidades básicas escritas íntegramente en C# y almacenadas como objetos binarios de gran tamaño (blobs). Este método les permite ocultar el código malicioso de las técnicas de detección tradicionales que analizan archivos DEX o bibliotecas nativas.
Un ejemplo de este malware es una aplicación bancaria fraudulenta que suplanta la identidad de IndusInd Bank y que se dirige a usuarios indios. Al iniciarse, la aplicación solicita a los usuarios que introduzcan datos personales y financieros, como su nombre, número de teléfono, correo electrónico, fecha de nacimiento y credenciales bancarias. Estos datos se envían directamente al servidor de comando y control (C2) del atacante.
A diferencia del malware típico para Android, esta aplicación carece de código dañino en sus componentes Java o nativos, y en su lugar oculta sus elementos maliciosos en archivos blob del directorio de ensamblados.
Otro caso es una aplicación falsa de servicio de redes sociales (SNS) dirigida a usuarios de habla china. Este malware emplea carga dinámica multietapa, descifrando y ejecutando su carga útil en tres etapas distintas para dificultar considerablemente su análisis.
Además, manipula el archivo AndroidManifest.xml añadiendo permisos excesivos generados aleatoriamente para interrumpir las herramientas de seguridad. También utiliza comunicación por sockets cifrados a través de conexiones TCP para transmitir datos robados, lo que dificulta la interceptación.
Estos hallazgos ponen de manifiesto cómo los ciberdelincuentes están perfeccionando sus métodos para eludir las medidas de seguridad convencionales.
Para reducir el riesgo de infección, los usuarios de dispositivos móviles deben tener en cuenta las siguientes precauciones:
- Descargar aplicaciones solo desde tiendas de aplicaciones oficiales como Google Play
- Tener cuidado con las aplicaciones que solicitan permisos innecesarios
- Utilizar software de seguridad para detectar y bloquear posibles amenazas
«Para mantenerse al día con la rápida evolución de las tácticas de los ciberdelincuentes, se recomienda encarecidamente a los usuarios instalar software de seguridad en sus dispositivos y mantenerlo actualizado en todo momento», añadió McAfee. «Mantenerse alerta y garantizar la implementación de medidas de seguridad puede ayudar a protegerse contra las amenazas emergentes».
