.NET MAUI 기반 안드로이드 악성코드 캠페인: 인도 및 중국 사용자를 노린 위장 앱 유포

Android malware campaigns use .NET MAUI to evade detection

Android malware campaigns use .NET MAUI to evade detection

 

Hackers Use .NET MAUI to Target Indian and Chinese Users with Fake Banking, Social Apps

 

• 공격 개요
  • 공격자는 Microsoft의 .NET MAUI 프레임워크를 활용해 안드로이드용 악성 앱을 제작
  • 주 대상은 인도 사용자와 중국어 사용자로, 위장된 금융 및 소셜 미디어 앱을 통해 개인정보 탈취 시도
  • 기존 Xamarin 기반 악성코드에서 진화하여 C# 기반 블롭(binary large object) 파일에 악성 기능을 은닉
• 악성 앱 주요 특징
  • 기능이 전통적인 DEX 파일이나 native 라이브러리가 아닌 C# blob binary로 구성되어 탐지 회피
  • .NET MAUI를 패커(packer)처럼 사용하여 위협 요소 은폐
  • 공식 구글 플레이스토어에 등록되지 않고, 메신저 링크 및 제3자 앱스토어를 통해 유포
  • 과도한 권한 요청(예: android.permission.LhSSzIw6q)을 통해 분석 도구를 무력화 시도
• 악성 앱 샘플 (일부 패키지명)
  • Indusind Card (com.rewardz.card)
  • indus credit card (indus.credit.card)
  • Cupid (pommNC.csTgAT)
  • 小宇宙 (p9Z2Ej.cplkQv)
  • 迷城 (pCDhCg.cEOngl, pg92Li.cdbrQ7)
  • X•GDN (pgkhe9.ckJo4P)
  • 私密相册 (pBOnCi.cUVNXz)
• 악성 행위 방식
  • 사용자 상호작용(예: 버튼 클릭) 시 C# 내부에 은닉된 페이로드가 실행
  • 민감정보 탈취 대상
    • 금융 앱: 이름, 전화번호, 이메일, 생년월일, 신분증 번호, 카드 정보 등
    • 소셜 앱: 연락처, 문자 메시지, 사진 등
  • 탈취된 데이터는 암호화된 소켓 통신을 통해 C2 서버로 전송
• 고급 은폐 기법
  • 3단계 동적 로딩 방식(multi-stage dynamic loading)
    • 1단계: AndroidManifest.xml에 등록된 메인 액티비티가 XOR 암호화된 로더 파일 복호화 및 실행
    • 2단계: 로더가 AES 암호화된 페이로드 복호화
    • 3단계: MAUI 어셈블리 로딩 및 최종 악성 코드 실행
  • 전 단계에 걸쳐 코드가 단계별로 복호화되며, 정적 분석을 회피
• 보안 권고
  • 공식 앱스토어 이외 경로의 앱 설치 지양
  • 모바일 보안 솔루션 및 백신 소프트웨어 활용하여 실시간 탐지 기능 유지
  • AndroidManifest.xml 내 불필요한 권한 요청 식별 및 분석 대상화
  • 보안 담당자는 .NET MAUI 기반 앱 분석 능력 및 C# blob 바이너리 디코딩 역량 확보 필요
  • 관련 IOC 정보 확인 및 위협 인텔리전스 연동 권장
• 결론
  • .NET MAUI는 크로스 플랫폼 개발을 위한 도구이나, 공격자에게는 탐지 회피 수단으로 악용 가능
  • 멀티스테이지 암호화 및 동적 로딩을 조합한 방식은 전통적인 정적 분석 도구 무력화에 효과적
  • 해당 공격 유형은 증가 추세로, 공격 탐지 및 대응 역량 확보가 시급