Nuevo Malware en Android usa .NET MAUI para Evadir la Detección
Adan Cuevas 03/25/2025 Ciberseguridad, Riesgos informaticos, Microsoft, Malware, Ciberataque
3 Minutos

Últimamente han aparecido nuevas campañas de malware en Android que están usando una técnica bastante ingeniosa (y preocupante): se apoyan en .NET MAUI, una herramienta de Microsoft pensada para crear apps multiplataforma, y se camuflan como si fueran servicios legítimos. Todo esto, con el objetivo de pasar desapercibidas y evitar que los sistemas de seguridad las detecten.

Por ahora, estas apps maliciosas se han visto principalmente en China e India, pero el hallazgo es clave porque este tipo de táctica podría extenderse muy rápido. Si otros grupos de cibercriminales deciden copiarla, podríamos empezar a verla en muchas más partes del mundo.

 

¿Cómo entra en juego .NET MAUI en Android?

 

.NET MAUI, lanzado en 2022, es una herramienta de desarrollo creada por Microsoft que permite construir apps con C# para varias plataformas, tanto móviles como de escritorio. Básicamente, es el reemplazo de Xamarin y está pensado para facilitar la creación de apps que funcionen en distintos sistemas operativos desde un solo código base.

Lo curioso (y preocupante) es que, aunque las apps de Android normalmente se desarrollan en Java o Kotlin y se compilan en archivos DEX, también se pueden crear usando .NET MAUI. En ese caso, la lógica de la aplicación se guarda en archivos binarios tipo blob, algo que no es muy común… y ahí está el truco.

Las soluciones de seguridad actuales para Android están diseñadas para analizar esos archivos DEX en busca de comportamientos sospechosos. Pero los blobs binarios no suelen revisarse, lo que les da a los atacantes la oportunidad perfecta para esconder código malicioso sin levantar sospechas.

Este enfoque es incluso más sigiloso que el típico método que muchos tipos de malware usan hoy en día, donde descargan el contenido malicioso después de que la app ya está instalada. Aquí, todo está listo desde el principio, pero bien oculto.

Y como las apps hechas con C# y esos archivos blob no son algo que se vea todos los días en Android, es aún más fácil pasar desapercibido. Pero eso no es todo. Además de usar .NET MAUI, estas campañas también emplean técnicas de evasión bastante elaboradas:

 

  1. Usan cifrado multicapa (una mezcla de XOR y AES)

  2. Ejecutan el malware por etapas (es decir, no muestran todo de golpe)

  3. Inflan el archivo AndroidManifest.xml con cadenas aleatorias

  4. Y se comunican a través de sockets TCP con servidores de comando y control (C2)

 

Todo esto hace que el análisis y la detección se vuelvan mucho más complicados, lo que permite que estas amenazas permanezcan activas durante mucho tiempo sin ser descubiertas.

Para empeorar las cosas, ya se han detectado varias variantes distintas que usan las mismas técnicas. Eso sugiere que este tipo de ataques no son casos aislados, sino parte de una tendencia creciente que probablemente veamos con más frecuencia en el futuro cercano.

 

Podría interesarte leer:  Apps 'Vapor' Maliciosas en Google Play: 60 Millones de Descargas

 

¿Cómo se disfrazan estas apps maliciosas para parecer legítimas?

 

En el informe se identificaron varios archivos APK que forman parte de estas campañas basadas en .NET MAUI. Entre ellos, había apps falsas de todo tipo: desde servicios de banca hasta plataformas de mensajería, citas y redes sociales, incluyendo versiones falsas de X (antes Twitter). Todas estas aplicaciones están diseñadas para parecer legítimas, pero en realidad su objetivo es robar tu información personal.

 

xapp

Aplicación X falsa (Fuente: McAfee)

 

Los investigadores analizaron dos apps como ejemplo: una llamada IndusInd y otra SNS. Ambas se distribuyen por fuera de Google Play, es decir, no están en la tienda oficial de Android.

En lugares como China, donde el acceso a Google Play está restringido, este tipo de aplicaciones se suelen descargar desde sitios web de terceros o tiendas alternativas. Eso les facilita mucho las cosas a los atacantes, ya que no tienen que pasar por los filtros de seguridad que impone Google.

En el caso de IndusInd, por ejemplo, la app se hace pasar por una aplicación bancaria legítima de la India. Pide a los usuarios que ingresen datos personales y financieros (como si fuera una app real) y luego envía esa información directamente al servidor de los atacantes.

 

exfiltratedata

Exfiltración de datos al servidor C2

 

Conoce más sobre: El Peligro de las APK Piratas para Spotify: Amenaza a la Privacidad

 

En el caso de la app SNS, dirigida a usuarios de habla china, lo que hace es bastante invasivo: intenta acceder a tu lista de contactos, leer tus mensajes SMS y hasta robar las fotos que tengas guardadas en el dispositivo.

Para evitar caer en este tipo de trampas, lo mejor es no descargar archivos APK desde tiendas de apps no oficiales o páginas web desconocidas. Tampoco es buena idea hacer clic en enlaces que te lleguen por SMS o correo electrónico si no estás seguro de su origen.

Si estás en una región donde no puedes acceder a Google Play, lo ideal es escanear cualquier APK antes de instalarlo y asegurarte de que provenga de una fuente confiable.

También es importante tener activado Google Play Protect en tu dispositivo. Esta herramienta puede detectar y bloquear varias de las apps maliciosas que se han identificado recientemente, así que no está de más asegurarte de que esté funcionando correctamente.

 

Actúa ahora, protege todos tus dispositivos

Tag:

Ciberseguridad Riesgos informaticos Microsoft Malware Ciberataque

Convertidores de Archivos Gratuitos: Conoce los Riesgos Ocultos

Artículo Anterior

    Categorías

    Artículos más leídos

    Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
    Descubriendo los canales en Telegram de la Dark Web
    Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
    Guía para Activar y Usar Copilot en Word Eficazmente
    Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
    Top 5 de Foros Rusos en la Dark Web
    Alexander Chapellin 02/17/2024 Ciberseguridad, Riesgos informaticos
    Alternativa Económica a Flipper Zero para Hacking: M1

    Artículos Relacionados

    Ciberseguridad, Malware, Ciberataque
    Scarlet Mendoza 03/24/2025

    Nuevo Ransomware VanHelsing Ataca Sistemas Windows, ARM y ESXi

    El panorama del ransomware suma una nueva amenaza que pone en jaque la seguridad de empresas y

    Leer más
    Ciberseguridad, Vulnerabilidades, Ciberataque
    Adriana Aguilar 03/24/2025

    Robo de 40 mdp en Ciberataque: ¿Hackers o insiders?

    Un supuesto hackeo en el JMAPA terminó con el robo de más de 40 millones de pesos, y los expertos

    Leer más
    Ciberseguridad, Riesgos informaticos, Vulnerabilidades, Ciberataque
    Eduardo Morales 03/24/2025

    Nueva Estafa Suplanta a Rappi y Pone en Riesgo a sus Usuarios

    Los estafadores están haciéndose pasar por Rappi en redes sociales para robar datos personales. La

    Leer más
    Bottom Banner

    Reduce los costos de TI y eleva la productividad de tu empresa con TecnetOne

    Si te interesa implementar soluciones en la nube en tu empresa, te invitamos a que nos contactes.

    Quiero saber más