Сертификаты подписи системных приложений Android использовались злоумышленниками для подписи вредоносных приложений.
OEM-производители устройств Android используют сертификаты или ключи для подписи основных образов ПЗУ Anfroid устройств и связанных приложений. Если вредоносное приложение подписано тем же сертификатом, что и легитимное, и ему присвоен идентификатор пользователя с высокими привилегиями, это приложение также получит доступ на уровне системы к Android устройству.
Такие привилегии предоставляют доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям, сюда входит:
- управление текущими вызовами;
- установка или удаление пакетов;
- сбор информации об устройстве и др.
Это неправомерное использование ключей платформы было обнаружено реверс-инженером Google по безопасности Android Лукашем Северски.
Северски обнаружил несколько образцов вредоносных программ, подписанных с использованием 10 сертификатов и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью. На данный момент неизвестно, кто злоупотребил этими сертификатами и каким образом распространялись образцы вредоносного ПО.
Поиск этих хэшей в VirusTotal показал, что некоторые из сертификатов принадлежат Samsung Electronics, LG Electronics, Revoview и Mediatek. Вредоносное ПО, подписанное с помощью сертификатов компаний, включает:
- троян HiddenAds – отображает рекламу на экране блокировки, которая занимает весь экран устройства;
- инфостилер – похищает конфиденциальную информацию о пользователе и его учетные данные;
- Metasploit – инструмент для пентеста, который можно использовать для разработки и распространения эксплойтов;
- дроппер – приложения, которые содержат в себе дополнительные полезные нагрузки для заражения устройства.
Чтобы увидеть все приложения, подписанные этими потенциально скомпрометированными сертификатами, можно использовать APKMirror для их поиска (список приложений, подписанных сертификатом Samsung , и одно приложение, подписанное сертификатом LG ). Google проинформировал всех затронутых поставщиков и посоветовал им сменить сертификаты своих платформ, расследовать утечку и свести к минимуму количество приложений, подписанных их сертификатами, чтобы предотвратить будущие инциденты.