記事本文(要約)
新たなAndroidマルウェアキャンペーンが、Microsoftのクロスプラットフォームフレームワーク.NET MAUIを使い、正規のサービスを装って検知を回避しています。この手法は、Androidセキュリティの向上を目指すApp Defense Allianceの一員であるMcAfeeのモバイル研究チームによって観察されました。
.NET MAUIはMicrosoftが2022年に導入したC#ベースのアプリ開発フレームワークで、AndroidアプリをC#で構築し、コードをバイナリブロブファイルに格納することが可能です。これにより、通常のAndroidセキュリティツールがチェックするDEXファイルを避けて悪意あるコードを隠し、検知を回避できます。
McAfeeは、この手法が中国やインドのユーザーを標的としていることを確認しましたが、ターゲット範囲が広がる可能性があるため注意が必要です。また、マルウェアキャンペーンは、複数の暗号化(XOR + AES)と段階的な実行、ランダムな文字列で膨らんだ’AndroidManifest.xml’ファイル、C2通信のためのTCPソケットを使用しています。
さらに、偽の銀行、通信、デート、ソーシャルメディアアプリなどが個人の情報を盗み、C2サーバーに送信。これらのアプリはGoogle Playストア外で配布されており、特にGoogle Playにアクセスが制限されている地域では、第三者のウェブサイトや代替のアプリストアを通じて広がっています。
感染リスクを最小限に抑えるため、Google Play以外からAPKをダウンロードしないことや、SMSやメールで受け取ったリンクをクリックしないことが推奨されます。また、Google Playが使えない地域では、APKを信頼できるサイトからのみインストールするようにし、可能であれば事前にマルウェアの兆候がないかスキャンすることが重要です。Google Play Protectを有効にして、マルウェアを検出・ブロックできるようにしておきましょう。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 25 Mar 2025 09:52:53 -0400
Original URL: https://www.bleepingcomputer.com/news/security/new-android-malware-uses-microsofts-net-maui-to-evade-detection/
詳細な技術情報
- 脆弱性の仕組み
- .NET MAUIの使用: 通常のAndroidアプリはJava/Kotlinで書かれ、DEX形式でコードを格納しますが、.NET MAUIを使用するとC#でAndroidアプリを作成でき、アプリのロジックをバイナリブロブファイルに格納します。このため、従来のAndroidセキュリティツールがスキャンを行わない部分(ブロブファイル)に悪意あるコードを隠すことが可能になります。
- 攻撃手法
- 多層暗号化: XOR + AES を用いてデータを多層に暗号化します。
- 段階的実行: 処理を段階的に実行することで分析と検出を困難にします。
- AndroidManifest.xmlの膨張: 無意味な文字列を大量に追加することで、ファイルを膨張させ、分析を困難にします。
- C2通信にTCPソケットの使用: コマンド&コントロール(C2)サーバーとの通信を行います。
- 潜在的な影響
- 偽装されたアプリを通じて、個人情報(金融情報や個人の連絡先情報など)が攻撃者に送信または漏洩される危険があります。
- デバイス内の連絡先リスト、SMSメッセージ、写真などのデータが盗まれる可能性があります。
- 推奨される対策
- 1. 不明なソースからのAPKsダウンロードの回避: Google Playストアを利用できない場合でも、第三者のアプリストアや不明なウェブサイトからのAPKダウンロードを避けるべきです。
- 2. メッセージ内のリンククリックの回避: 知らないSMSやメール内のリンクをクリックしないようにします。
- 3. セキュリティソフトウェアの活用: Google Play Protectや信頼できるモバイルセキュリティソフトウェアを使用し、これらのマルウェアが検出されないようにするために最新のセキュリティ対策を適用します。
- 4. 信頼できるソースからのみアプリをインストール: アプリのインストールは信頼できるプラットフォームや公式サイトからのみ行います。
