Diverse chiavi di firma degli OEM Android trapelate, utilizzate per firmare malware

In un recente sviluppo, diverse chiavi di firma utilizzate dagli OEM Android per firmare digitalmente le principali applicazioni di sistema sono state utilizzate per firmare applicazioni Android contenenti malware.

Bene, su Android, per aggiornare un’app, la chiave di firma sul tuo telefono deve corrispondere alle chiavi dell’aggiornamento che stai installando, quindi la chiave corrispondente autentica che l’aggiornamento è legittimo e proviene dall’OEM (Original Equipment Manufacturer) o dallo sviluppatore che ha creato l’app, non da qualche fonte malevola.

Quindi, la procedura di aggiornamento dell’app non è solo per le app che scarichi dal Google Play Store, ma anche per le app preinstallate che puoi aggiornare, che provengono da Google o dall’OEM. Ci sono già un insieme fermo di regole o permessi per le app che scarichi dal Play Store, anche se le app preinstallate hanno accesso a permessi molto più potenti rispetto a quelle del Play Store.

Se l’OEM perde o ha perso la propria chiave di firma delle app di sistema e se le app malevole sono firmate con la stessa chiave di firma, che è allineata a un ID utente altamente privilegiato ‘android.uid.system’, allora le app otterranno anche l’accesso a livello di sistema al dispositivo Android.

Questi privilegi danno accesso a permessi potenti che normalmente non vengono concessi alle app, come installare o eliminare pacchetti, gestire chiamate in corso, raccogliere informazioni sul dispositivo o altre attività sensibili.

L’uso abusivo di queste chiavi è stato scoperto per la prima volta da Lukasz Siewierski, che è un ingegnere di riserva nel team di sicurezza Android di Google, il rapporto è ora disponibile sul tracker dell’Android Partner Vulnerability Initiative.

Secondo l’APVI, un certificato di piattaforma è un certificato di firma delle applicazioni utilizzato per firmare le applicazioni Android sull’immagine di sistema. L’applicazione Android viene eseguita con un ID utente ad alto privilegio ‘android.uid.system’, che detiene permessi di sistema che includono il permesso di accedere ai dati dell’utente.

Inoltre, Siewierski ha trovato diversi firmati utilizzando questi dieci certificati di piattaforma Android e ha fornito gli hash SHA256 per ciascun campione e certificati firmati digitalmente.

In questo momento, non ci sono informazioni disponibili su come queste chiavi di certificato siano state trapelate per firmare malware o se uno o più attori della minaccia abbiano accesso a esse, o se qualcuno all’interno con autorizzazione abbia firmato l’APK con le chiavi OEM. Inoltre, non ci sono informazioni su dove siano stati trovati questi campioni di malware o se siano stati condivisi sul Play Store o da negozi di terze parti.

Questi sono dieci pacchetti di chiavi di piattaforma Android

com.russian.signato.renewis  
com.sledsdffsjkh.Search  
com.android.power  
com.management.propaganda  
com.sec.android.musicplayer.  
com.houla.quicken|  
com.attd.da  
com.arlo.fappx  
com.metasploit.stage  
com.vantage.ectronic.cornmuni

Se esegui una ricerca su Virustool di Google per tutti questi hash rivela che questi certificati di piattaforma appartengono a Samsung, LG, MediaTek, Revoview e Szroco.

Il malware che è stato firmato con i loro certificati ha rilevato HiddenAdtrojans, ladri di informazioni e Metasploit, e i droppers di malware che gli attori della minaccia possono utilizzare per distribuire payload più malevoli sul dispositivo infetto.

Il gigante dei motori di ricerca Google ha emesso una dichiarazione informando tutti i fornitori che sono stati colpiti e ha consigliato loro di ruotare le proprie chiavi di piattaforma, anche di indagare su quale fosse la causa principale della fuga e mantenere il numero di app firmate con il loro certificato di piattaforma Android al minimo per fermare l’incidente in futuro.

Per aggiungere a questo, Google raccomanda anche fermamente di ridurre al minimo il numero di applicazioni firmate con il certificato di piattaforma, poiché ciò ridurrà significativamente il costo di rotazione delle chiavi di piattaforma se simili eventi si verificano in futuro.

Per conoscere tutte le app Android firmate con certificati potenzialmente infetti, vai su APK Mirror e cercale (elenco delle app firmate con Samsung e LG). Anche se Google ha detto che tutti i fornitori colpiti sono stati informati dei certificati di piattaforma abusati e hanno adottato misure correttive per ridurre l’impatto sugli utenti. Tuttavia, Samsung sta ancora utilizzando le chiavi di certificato di piattaforma che sono state trapelate per firmare digitalmente le app.

Fortunatamente, queste chiavi sono solo per gli aggiornamenti delle app, non le chiavi per firmare gli aggiornamenti del sistema operativo, quindi il fornitore colpito può ancora rilasciare aggiornamenti OTA sicuri che includono nuove app di sistema con cui possono aggiornare Google Play Protect con nuove chiavi compatibili, anche se ciò richiederebbe troppo lavoro.

Google ha aggiunto che ha aggiunto queste chiavi infette al Android Build Suite, che scansiona le immagini di sistema e Google Play Protect scansiona anche per il malware. Inoltre, non ci sono prove che questo malware sia o sia stato su Google Play Store, e raccomanda agli utenti di assicurarsi di essere sulla versione più recente di Android.

Leggi: Il malware Dolphin del gruppo A37 utilizzato per rubare dati e prendere di mira il giornale sudcoreano