Il panorama delle minacce Android sta evolvendo in modo inquietante con una nuova strategia che sfrutta il framework .NET MAUI di Microsoft per eludere i tradizionali meccanismi di sicurezza. Secondo quanto rilevato dal team di ricerca mobile di McAfee, parte dell'App Defense Alliance, alcuni malware stanno utilizzando questa tecnologia cross-platform per nascondere codice malevolo in file binari che sfuggono ai controlli standard. Sebbene attualmente questi attacchi siano concentrati principalmente in Cina e India, la tecnica potrebbe presto diffondersi globalmente, rappresentando un'innovazione pericolosa nel panorama delle minacce digitali.
Il framework .NET MAUI, lanciato da Microsoft nel 2022 come sostituto di Xamarin, permette lo sviluppo di applicazioni multi-piattaforma utilizzando il linguaggio C#. Mentre la maggior parte delle app Android viene sviluppata in Java o Kotlin con codice archiviato in formato DEX, il framework Microsoft consente di scrivere applicazioni in C# dove la logica applicativa viene conservata in file binari "blob".
Questa caratteristica tecnica rappresenta un'opportunità d'oro per i cybercriminali. Gli strumenti di sicurezza Android contemporanei sono infatti programmati per analizzare solo i file DEX alla ricerca di codice sospetto, ignorando completamente i file blob. Il risultato? Un meccanismo di evasione quasi perfetto che permette di distribuire malware già completo all'installazione.
L'approccio risulta particolarmente efficace perché le app basate su C# e i file blob sono elementi relativamente oscuri nell'ecosistema Android, raramente sottoposti a controlli approfonditi.
Le campagne identificate da McAfee non si limitano all'utilizzo di .NET MAUI. I ricercatori hanno scoperto l'implementazione di tecniche di evasione sovrapposte che includono crittografia multi-livello (combinando XOR e AES), esecuzione a più stadi, e comunicazioni con server di comando e controllo (C2) tramite socket TCP.
Particolarmente insidiosa è la tecnica di "gonfiaggio" del file AndroidManifest.xml con stringhe generate casualmente, che rende più difficile l'identificazione di pattern malevoli.
"Con queste tecniche di evasione, le minacce possono rimanere nascoste per lunghi periodi, rendendo l'analisi e il rilevamento significativamente più difficili", avverte McAfee nella sua analisi.
I ricercatori hanno individuato diverse applicazioni Android parte di queste campagne, tra cui false app bancarie, di comunicazione, dating e social media. Un esempio significativo è rappresentato da un'app che si finge X (ex Twitter), progettata per rubare credenziali e dati personali. McAfee ha approfondito in particolare due casi di studio: IndusInd e SNS. La prima si spaccia per l'app ufficiale di una banca indiana, inducendo gli utenti a inserire informazioni personali e finanziarie che vengono silenziosamente trasmesse ai server controllati dagli attaccanti.
L'app SNS, rivolta invece a utenti di lingua cinese, ha un obiettivo ancora più ampio: sottrarre rubrica dei contatti, messaggi SMS e fotografie memorizzate sul dispositivo, rappresentando una grave violazione della privacy personale.
Queste app malevole vengono distribuite principalmente al di fuori del Google Play Store, attraverso store alternativi o siti web di terze parti. La situazione è particolarmente critica in Cina, dove l'accesso al Google Play è limitato e gli utenti sono costretti a rivolgersi a fonti alternative per scaricare applicazioni. Questo contesto facilita la diffusione del malware, creando un terreno fertile per gli attaccanti, specialmente in regioni con accesso limitato agli store ufficiali. La combinazione di distribuzione attraverso canali non verificati e tecniche di evasione avanzate rappresenta una tempesta perfetta per la sicurezza mobile.
Per ridurre il rischio di infezione da parte di questo nuovo tipo di malware, è fondamentale evitare il download di APK Android da store non ufficiali o siti web poco conosciuti. È altrettanto importante non cliccare su link ricevuti tramite SMS o email, specialmente se provenienti da fonti sconosciute.
Per gli utenti in regioni dove Google Play non è disponibile, è consigliabile effettuare una scansione degli APK prima dell'installazione e scaricare applicazioni solo da siti web realmente affidabili. Google Play Protect può rilevare e bloccare gli APK identificati da McAfee in queste campagne, quindi è essenziale mantenere questo servizio attivo sul proprio dispositivo.