已发现新的Android恶意软件活动使用微软的.NET MAUI框架来逃避安全工具的检测。McAfee的移动研究团队是App Defense Alliance的一部分,在针对中国和印度用户的应用程序中发现了这些策略。然而,该团队警告说,这些策略可以被更广泛地采用。
.NET MAUI由微软于2022年推出,作为Xamarin的继任者,允许使用C#开发跨平台应用程序。与在Java/Kotlin中构建并存储在DEX文件中的传统Android应用程序不同,.NET MAUI应用程序将逻辑存储在二进制blob文件中,当前的Android安全工具通常不会扫描这些文件。这使得恶意软件更容易隐藏在这些blob中并避免被发现。
此外,观察到的恶意软件活动采用多层加密、分阶段执行、臃肿的“AndroidManifest.xml”文件以及用于命令和控制通信的TCP套接字。这些复杂的规避技术使恶意软件能够在很长一段时间内不被发现,从而使分析和检测复杂化。McAfee强调,使用这些方法的多个恶意软件变体的出现表明此类网络威胁呈增长趋势。来源