McAfeeの報告により、サイバー犯罪者がMicrosoftのクロスプラットフォーム開発フレームワーク「.NET MAUI」を悪用し、Android向けマルウェアの検出回避に成功している実態が明らかになった。

攻撃は偽の銀行アプリやSNSアプリを装い、非公式ストアやフィッシング経由で拡散されており、blobファイルへの隠蔽、マルチステージ読み込み、暗号化通信など高度な手法が確認された。

ウイルス対策ソフトの監視をすり抜ける構造に加え、正規の設定に似せたファイル構成が利用されており、一般ユーザーが見抜くのは困難とされる。

Microsoftの.NET MAUIが悪用される新たな手口とは

McAfeeのセキュリティ研究者が発見したのは、Microsoftのクロスプラットフォーム開発フレームワーク「.NET MAUI」がAndroidマルウェアの隠れ蓑として使われているという深刻な事例だ。この手法では、アプリ内部に悪意あるコードを直接記述せず、「blobファイル」と呼ばれる非表示領域に潜ませることで、多くのウイルス対策ソフトの検知を逃れている。さらに、アプリ実行時に分割されたコードを段階的に読み込み、復号化しながら動作する「マルチステージの動的読み込み」が採用されており、挙動の全体像を把握するのが困難となっている。

また、アプリには不要な権限や設定が意図的に追加されており、これがスキャナーの判定をあいまいにしているとされる。通信手段にも工夫が凝らされており、一般的なインターネット経由ではなく、暗号化された直接通信でC2サーバーへデータを送信する構造が確認されている。このような複合的な隠蔽・偽装技術により、通常のセキュリティ対策では検出や対応が極めて難しい状況が生まれている。

.NET MAUIは正規の開発ツールであり、通常は安全なアプリ構築に利用されるものだが、その柔軟性ゆえにサイバー攻撃にも転用されるリスクがあることが浮き彫りとなった。ツールの多機能性が攻撃者の創意工夫を助長してしまうという側面は、技術の進化が常に善ではないことを示唆している。

偽アプリが狙うのは「油断」 非公式ストアとフィッシングの罠

今回のマルウェア拡散の主な手段として指摘されたのは、正規のGoogle Play Storeではなく、非公式アプリストアやフィッシングリンクを介した配布である。特に、McAfeeが確認した事例では、偽の銀行アプリや中国語圏を狙った偽SNSアプリが存在しており、ユーザーを安心させるために本物そっくりの外観を用いているのが特徴だ。こうしたアプリは、見た目の信頼感に加え、特定のコミュニティにフォーカスした設計によって警戒心を緩めさせ、インストールまで自然に誘導している。

アプリがインストールされると、バックグラウンドでユーザーの機密情報を収集し、気づかれぬままC2サーバーに送信する構造となっている。しかもその通信は暗号化されており、通常のネットワーク監視では内容が把握できない。マルウェアの存在を示す兆候も極めて少ないため、被害に遭った利用者が長期間気づかない可能性もある。

非公式ストアの利用はセキュリティリスクが高まると言われてきたが、今回のように巧妙に作り込まれた偽アプリは、一見しただけでは違和感がない場合もある。アプリのインストール前にレビューや提供元を細かく確認し、怪しいリンクやメッセージには安易に反応しない慎重さが、今後一層求められるだろう。

Source:TechRadar