Mehrere Android-OEMs Signing-Schlüssel geleakt, zur Signierung von Malware verwendet

In einer aktuellen Entwicklung wurden mehrere Signing-Schlüssel, die von den Android-OEMs verwendet werden, um die Hauptsystemanwendungen digital zu signieren, verwendet, um Android-Anwendungen mit Malware zu signieren.

Nun, auf Android muss der Signing-Schlüssel auf Ihrem Telefon mit den Schlüsseln des Updates übereinstimmen, das Sie installieren, damit der übereinstimmende Schlüssel authentifiziert, dass das Update legitim vom OEM (Original Equipment Manufacturer) oder dem Entwickler, der die App erstellt hat, stammt und nicht von einer böswilligen Quelle.

Der App-Update-Prozess gilt nicht nur für die Apps, die Sie aus dem Google Play Store herunterladen, sondern auch für die gebündelten Apps, die Sie aktualisieren können und die von Google oder dem OEM stammen. Es gibt bereits eine feste Reihe von Regeln oder Berechtigungen für die Apps, die Sie aus dem Play Store herunterladen, obwohl die gebündelten Apps mehr Zugriff auf viel mächtigere Berechtigungen haben als die im Play Store.

Wenn der OEM seinen System-App-Signing-Schlüssel verloren hat oder verloren hat und wenn die böswilligen Apps mit demselben Signing-Schlüssel signiert sind, der mit einer hochprivilegierten ‘android.uid.system’ Benutzer-ID übereinstimmt, dann erhalten die Apps auch den Systemzugriff auf das Android-Gerät.

Diese Berechtigungen gewähren Zugriff auf mächtige Berechtigungen, die normalerweise nicht an Apps vergeben werden, wie das Installieren oder Löschen von Paketen, das Verwalten laufender Anrufe, das Sammeln von Informationen über das Gerät oder andere sensible Aktivitäten.

Der missbräuchliche Gebrauch dieser Schlüssel wurde erstmals von Lukasz Siewierski entdeckt, der ein Reserve Engineer im Google Android Security-Team ist, der Bericht ist jetzt im Tracker der Android Partner Vulnerability Initiative verfügbar.

Laut der APVI ist ein Plattformzertifikat ein Anwendungssignierungszertifikat, das verwendet wird, um Android-Anwendungen im Systemabbild zu signieren. Die Android-Anwendung läuft mit einer hohen Berechtigung ‘android.uid.system’ Benutzer-ID, die Systemberechtigungen enthält, die den Zugriff auf Benutzerdaten umfassen.

Darüber hinaus fand Siewierski mehrere signierte Anwendungen mit diesen zehn Android-Plattformzertifikaten und stellte die SHA256-Hashes für jede der Proben und digital signierten Zertifikate zur Verfügung.

Derzeit gibt es keine Informationen darüber, wie diese Zertifikatschlüssel geleakt wurden, um Malware zu signieren, oder ob ein oder mehrere Bedrohungsakteure Zugriff darauf haben, oder ob jemand intern mit autorisierten Schlüsseln die APK mit den OEM-Schlüsseln signiert hat. Auch gibt es keine Informationen darüber, wo diese Malware-Proben gefunden wurden oder ob sie im Play Store oder von Drittanbieter-Stores geteilt wurden.

Dies sind zehn Android-Plattform-Schlüsselpakete

com.russian.signato.renewis  
com.sledsdffsjkh.Search  
com.android.power  
com.management.propaganda  
com.sec.android.musicplayer.  
com.houla.quicken|  
com.attd.da  
com.arlo.fappx  
com.metasploit.stage  
com.vantage.ectronic.cornmuni

Wenn Sie eine Suche auf Virustool von Google für all diese Hashes durchführen, zeigt sich, dass diese Plattformzertifikate zu Samsung, LG, MediaTek, Revoview und Szroco gehören.

Die Malware, die mit ihren Zertifikaten signiert wurde, umfasste versteckte Adtrojaner, Informationsdiebe und Metasploit sowie die Malware-Droppers, die die Bedrohungsakteure verwenden können, um weitere böswillige Payloads auf dem infizierten Gerät bereitzustellen.

Der Suchmaschinenriese Google hat eine Erklärung abgegeben, in der alle betroffenen Anbieter informiert wurden und sie geraten wurden, ihre Plattformschlüssel zu rotieren, auch um zu untersuchen, was die Ursache für den Leak war, und die Anzahl der mit ihren Android-Plattformzertifikaten signierten Apps auf ein Minimum zu reduzieren, um zu verhindern, dass solche Vorfälle in Zukunft auftreten.

Zusätzlich empfiehlt Google dringend, die Anzahl der mit dem Plattformzertifikat signierten Anwendungen zu minimieren, da dies die Kosten für die Rotation der Plattformschlüssel erheblich senken wird, falls Ähnliches in Zukunft passiert.

Um alle signierten Android-Apps mit möglicherweise infizierten Zertifikaten zu erfahren, gehen Sie zu APK Mirror und suchen Sie danach (Liste der Apps, die mit Samsung & LG signiert sind). Obwohl Google gesagt hat, dass alle betroffenen Anbieter über die missbrauchten Plattformzertifikate informiert wurden und Korrekturmaßnahmen ergriffen haben, um die Auswirkungen auf die Benutzer zu verringern. Samsung verwendet jedoch weiterhin die Plattformzertifikatsschlüssel, die geleakt wurden, um Apps digital zu signieren.

Glücklicherweise sind diese Schlüssel nur für die App-Updates, nicht die Schlüssel zur Signierung von OS-Updates, sodass der betroffene Anbieter weiterhin sichere OTA-Updates bereitstellen kann, die neue Systemanwendungen enthalten, mit denen sie Google Play Protect mit neuen Schlüsseln aktualisieren können, die kompatibel sind, obwohl das zu viel Arbeit wäre.

Google fügte hinzu, dass sie diese infizierten Schlüssel zur Android Build Suite hinzugefügt haben, die die Systemabbilder scannt, und Google Play Protect scannt ebenfalls nach der Malware. Darüber hinaus gibt es keine Beweise dafür, dass diese Malware im Google Play Store ist oder war, und es wird empfohlen, dass die Benutzer sicherstellen, dass sie die neueste Android-Version verwenden.

Lesen: Die Dolphin-Malware der A37-Gruppe wurde verwendet, um Daten zu stehlen und die südkoreanische Zeitung ins Visier zu nehmen