Plusieurs clés de signature d'OEM Android divulguées, utilisées pour signer des logiciels malveillants

Dans un développement récent, plusieurs clés de signature utilisées par l’OEM Android pour signer numériquement les principales applications système ont été utilisées pour signer des applications Android contenant des logiciels malveillants.

Eh bien, sur Android, pour mettre à jour une application, la clé de signature sur votre téléphone doit correspondre aux clés de la mise à jour que vous installez, alors la clé correspondante authentifie que la mise à jour est légitime, venant de l’OEM (Fabricant d’équipement d’origine) ou du développeur qui a créé l’application, et non d’une source malveillante.

Ainsi, la procédure de mise à jour des applications ne concerne pas seulement les applications que vous téléchargez depuis le Google Play Store, mais aussi les applications intégrées que vous pouvez mettre à jour, qui proviennent de Google ou de l’OEM. Il existe déjà un ensemble ferme de règles ou de permissions pour les applications que vous téléchargez depuis le Play Store, bien que les applications intégrées aient accès à des permissions beaucoup plus puissantes que celles du Play Store.

Si l’OEM perd ou a perdu sa clé de signature d’application système et si les applications malveillantes sont signées avec la même clé de signature, qui est alignée à un identifiant utilisateur très privilégié ‘ android.uid.system ‘, alors les applications obtiendront également un accès au niveau système de l’appareil Android.

Ces privilèges donnent accès à des permissions puissantes qui ne sont normalement pas accordées aux applications, telles que l’installation ou la suppression de paquets, la gestion des appels en cours, la collecte d’informations sur l’appareil, ou d’autres activités sensibles.

L’utilisation abusive de ces clés a été découverte pour la première fois par Lukasz Siewierski, qui est ingénieur de réserve au sein de l’équipe de sécurité Android de Google, le rapport étant désormais disponible sur le tracker de l’Initiative de vulnérabilité des partenaires Android.

Selon l’APVI, un certificat de plateforme est un certificat de signature d’application utilisé pour signer des applications Android sur l’image système. L’application Android s’exécute avec un identifiant utilisateur à privilège élevé ‘android.uid.system’, qui détient des permissions système, y compris la permission d’accéder aux données utilisateur.

De plus, Siewierski a trouvé plusieurs signatures utilisant ces dix certificats de plateforme Android et a fourni les hachages SHA256 pour chacun des échantillons et des certificats signés numériquement.

À ce jour, aucune information n’est disponible sur la manière dont ces clés de certificat ont été divulguées pour signer des logiciels malveillants ou si un ou plusieurs acteurs malveillants y ont accès, ou si quelqu’un à l’intérieur a autorisé la signature de l’APK avec les clés de l’OEM. De plus, aucune information n’est disponible sur l’endroit où ces échantillons de logiciels malveillants ont été trouvés ou s’ils ont été partagés sur le Play Store ou depuis des magasins tiers.

Voici dix paquets de clés de plateforme Android

com.russian.signato.renewis  
com.sledsdffsjkh.Search  
com.android.power  
com.management.propaganda  
com.sec.android.musicplayer.  
com.houla.quicken|  
com.attd.da  
com.arlo.fappx  
com.metasploit.stage  
com.vantage.ectronic.cornmuni

Si vous effectuez une recherche sur Virustool par Google pour tous ces hachages, cela révèle que ces certificats de plateforme appartiennent à Samsung, LG, MediaTek, Revoview et Szroco.

Les logiciels malveillants qui ont été signés avec leurs certificats ont détecté des HiddenAdtrojans, des voleurs d’informations, et Metasploit, ainsi que des droppers de logiciels malveillants que les acteurs de la menace peuvent utiliser pour déployer des charges utiles plus malveillantes sur l’appareil infecté.

Le géant des moteurs de recherche Google a publié une déclaration informant tous les fournisseurs concernés et leur a conseillé de faire tourner leurs clés de plateforme, également d’enquêter sur la cause profonde de la fuite, et de limiter le nombre d’applications signées avec leur certificat de plateforme Android au minimum pour éviter que cet incident ne se reproduise à l’avenir.

Pour ajouter à cela, Google recommande également fermement de minimiser le nombre d’applications signées avec le certificat de plateforme, car cela réduira considérablement le coût de la rotation des clés de plateforme si un incident similaire se produit à l’avenir.

Pour connaître toutes les applications Android signées avec des certificats potentiellement infectés, rendez-vous sur APK Mirror et recherchez-les (liste des applications signées avec Samsung et LG). Bien que Google ait déclaré que tous les fournisseurs concernés ont été informés des certificats de plateforme abusés et ont pris des mesures correctives pour réduire l’impact sur les utilisateurs. Cependant, Samsung utilise toujours les clés de certificat de plateforme qui ont été divulguées pour signer numériquement des applications.

Heureusement, ces clés ne concernent que les mises à jour des applications, pas les clés pour signer les mises à jour du système d’exploitation, donc le fournisseur concerné peut toujours déployer des mises à jour OTA sécurisées qui incluent de nouvelles applications système avec lesquelles ils peuvent mettre à jour Google Play Protect avec de nouvelles clés compatibles, bien que cela représente beaucoup de travail.

Google a ajouté qu’il avait intégré ces clés infectées dans la suite de construction Android, qui scanne les images système & Google Play Protect scanne également les logiciels malveillants. De plus, il n’y a aucune preuve que ce logiciel malveillant soit ou ait été sur le Google Play Store, et il recommande aux utilisateurs de s’assurer qu’ils sont sur la dernière version d’Android.

Lire: Le logiciel malveillant Dolphin du groupe A37 utilisé pour voler des données et cibler un journal sud-coréen