Hackerlar, Sahte Bankacılık ve Sosyal Medya Uygulamaları İçin .NET MAUI'yi Kötüye Kullanıyor

26.03.2025

Siber güvenlik araştırmacıları, Microsoft’un .NET MAUI framework’ünü kötüye kullanan ve sahte bankacılık ile sosyal medya uygulamaları oluşturan bir Android kötü amaçlı yazılım kampanyasını ortaya çıkardı. Bu zararlı uygulamalar, meşru hizmetleri taklit ederek kişisel bilgiler, kredi kartı numaraları ve devlet tarafından verilen kimlikler gibi hassas kullanıcı verilerini çalıyor.

Geleneksel Android kötü amaçlı yazılımlarından farklı olarak, bu uygulamalar tamamen C# dilinde geliştirilmiş ve blob ikili dosyaları olarak saklanmıştır, bu da onların tespit edilmesini zorlaştırmaktadır. .NET MAUI, kötü amaçlı yazılımın cihazda uzun süre kalmasını sağlayan bir paketleyici olarak işlev görmektedir. McAfee Labs araştırmacıları, tehdit aktörlerinin sürekli olarak taktiklerini geliştirdiğini ve gizliliği artırmak için Xamarin tabanlı kötü amaçlı yazılımlardan .NET MAUI’ye geçiş yaptığını belirtiyor.

The fake apps, collectively named FakeAppFakeApp olarak adlandırılan bu sahte uygulamalar, genellikle mesajlaşma platformları aracılığıyla paylaşılan aldatıcı bağlantılar yoluyla dağıtılmakta ve kullanıcıları resmi olmayan uygulama mağazalarına yönlendirmektedir. Bu uygulamalardan biri, bir Hint finans kurumunu taklit ederek bankacılık bilgilerini toplarken, bir diğeri sosyal medya platformu X’i taklit ederek hedeflenen cihazlardaki kişi listelerini, SMS mesajlarını ve fotoğrafları çalmaktadır. Bu uygulamalar, çalınan verileri uzaktaki bir komuta ve kontrol (C2) sunucusuna iletmek için şifreli soket iletişimi kullanmaktadır.

Tespit edilmekten kaçınmak için kötü amaçlı yazılım, çok aşamalı dinamik yükleme tekniğini kullanmaktadır. XOR şifrelemeli bir yükleyici, AES şifrelemeli bir yükü etkinleştirerek nihayetinde kötü amaçlı .NET MAUI bileşenlerini çalıştırmaktadır. Ayrıca, güvenlik analiz araçlarını yanıltmak için AndroidManifest.xml dosyasına anlamsız izinler eklenmektedir. AndroidManifest.xml file to disrupt security analysis tools.

Kurulduktan sonra, kötü amaçlı yazılım arka planda sessizce çalışarak, kullanıcı uygulamayla etkileşime geçtiğinde veri hırsızlığını tetiklemektedir. Araştırmacılar, .NET MAUI’nin kötü amaçlı kullanımının artmasının, daha güçlü güvenlik önlemleri alınmasını ve kullanıcıların bu sofistike siber tehditlere karşı bilinçlenmesini gerektirdiğini vurgulamaktadır.