Certificados de plataforma usados por fornecedores de smartphones Android usados para assinar aplicativos maliciosos

aplicativos-maliciosos-de-criptografia-encontrados-na-app-store-e-na-play-store

Aplicativos maliciosos estão sendo assinados por certificados de plataforma usados ??por fornecedores de smartphones Android como Samsung, LG e MediaTek.

As descobertas foram relatadas pela engenharia reversa do Google ?ukasz Siewierski na quinta-feira. “Um certificado de plataforma é o certificado de assinatura do aplicativo usado para assinar o aplicativo ‘android’ na imagem do sistema”, diz um relatório arquivado por meio da Android Partner Vulnerability Initiative (AVPI).

Ainda de acordo com esse relatório, “O aplicativo ‘android’ é executado com um ID de usuário altamente privilegiado – android.uid.system – e possui permissões do sistema, incluindo permissões para acessar dados do usuário”. Assim, um aplicativo não autorizado assinado com o mesmo certificado pode obter o mais alto nível de privilégios do sistema operacional Android, permitindo que ele colete todos os tipos de informações confidenciais de um dispositivo comprometido.

certificados-de-plataforma-usados-por-fornecedores-de-smartphones-android-usados-para-assinar-aplicativos-maliciosos

Certificados usados por fornecedores de smartphones Android usados para assinar aplicativos maliciosos

A lista de pacotes de aplicativos Android maliciosos que abusaram dos certificados está listado abaixo:

  • com.russian.signato.renewis;
  • com.sledsdffsjkh.Search;
  • com.android.power;
  • com.management.propaganda;
  • com.sec.android.musicplayer;
  • com.houla.quicken;
  • com.attd.da;
  • com.arlo.fappx;
  • com.metasploit.stage;
  • com.vantage.ectronic.cornmuni.

Infelizmente ainda não está claro como e onde esses certificados foram encontrados e se foram usados ??como parte de qualquer campanha ativa de malware. Esperamos que as descobertas tenham se antecipado quanto ao uso deles.

Uma pesquisa no VirusTotal mostra que as amostras identificadas foram sinalizadas por soluções antivírus como adware HiddenAds, Metasploit, ladrões de informações, downloaders e outros malwares ofuscados.

O The Hacker News procurou o Google para que a empresa comentasse essas descobertas. O Google disse que informou todos os fornecedores afetados para alternar os certificados e que não há evidências de que esses aplicativos foram entregues pela Play Store. Bom, esperamos que isso realmente não tenha acontecido.

“Os parceiros OEM prontamente implementaram medidas de mitigação assim que relatamos o principal comprometimento”, disse a empresa ao The Hacker News em um comunicado. “Os usuários finais serão protegidos por mitigações de usuário implementadas por parceiros OEM”.

“O Google implementou amplas detecções para o malware no Build Test Suite, que verifica as imagens do sistema. O Google Play Protect também detecta o malware. Não há indicação de que esse malware esteja ou esteve na Google Play Store. Como sempre, aconselhamos os usuários a certifique-se de que eles estão executando a versão mais recente do Android”.

Esperamos mais detalhes dessas descobertas em breve. Com os fornecedores afetados já avisados pelo Google, as coisas podem não piorarem. Esperamos que o problema não tenha causado problemas maiores.