いくつかのAndroid OEMの署名キーが漏洩し、マルウェアに署名される

最近の開発において、Android OEMによって主なシステムアプリケーションにデジタル署名を行うために使用されるいくつかの署名キーが、マルウェアを含むAndroidアプリケーションに署名するために使用されました。

Androidでは、アプリを更新するためには、電話の署名キーがインストールしている更新のキーと一致する必要があります。この一致するキーが、更新がOEM（オリジナル機器製造業者）またはアプリを作成した開発者からの正当なものであることを認証します。悪意のあるソースからではありません。

したがって、アプリの更新手続きは、Google Playストアからダウンロードしたアプリだけでなく、GoogleやOEMから提供されるバンドルアプリの更新にも適用されます。Playストアからダウンロードしたアプリにはすでに一連のルールや権限が設定されていますが、バンドルアプリはPlayストアのアプリよりもはるかに強力な権限にアクセスできます。

OEMがシステムアプリ署名キーを失った場合、または失った場合、悪意のあるアプリが同じ署名キーで署名されていると、これは高度な特権を持つ「android.uid.system」ユーザーIDに関連付けられているため、アプリはAndroidデバイスへのシステムレベルのアクセスを取得します。

これらの特権は、通常アプリに与えられない強力な権限へのアクセスを提供します。たとえば、パッケージのインストールや削除、進行中の通話の管理、デバイスに関する情報の収集、またはその他の敏感な活動などです。

これらのキーの乱用は、Google Androidセキュリティチームのリザーブエンジニアであるルカシュ・シエヴィエルスキによって最初に発見されました。この報告は現在、Androidパートナー脆弱性イニシアティブトラッカーで入手可能です。

APVIによると、プラットフォーム証明書は、システムイメージ上のAndroidアプリケーションに署名するために使用されるアプリケーション署名証明書です。Androidアプリケーションは、高い特権「android.uid.system」ユーザーIDで実行され、ユーザーデータにアクセスする権限を含むシステム権限を保持します。

さらに、シエヴィエルスキは、これらの10のAndroidプラットフォーム証明書を使用して署名された複数のサンプルを見つけ、それぞれのサンプルとデジタル署名された証明書のSHA256ハッシュを提供しました。

現時点では、これらの証明書キーがどのように漏洩してマルウェアに署名されたのか、または1人以上の脅威アクターがそれらにアクセスできるのか、あるいは誰かが内部で認可された署名を行ったのかについての情報はありません。また、これらのマルウェアのサンプルがどこで見つかったのか、Playストアや他のサードパーティストアで共有されたのかについての情報もありません。

これらは10のAndroidプラットフォームキーのパッケージです

com.russian.signato.renewis  
com. sledsdffsjkh.Search  
com. android.power  
com.management. propaganda  
com.sec.android.musicplayer.  
com.houla.quicken|  
com.attd.da  
com.arlo.fappx  
com.metasploit .stage  
com.vantage .ectronic .cornmuni

これらのハッシュをGoogleのVirustoolで検索すると、これらのプラットフォーム証明書がSamsung、LG、MediaTek、Revoview、Szrocoに属していることが明らかになります。

これらの証明書で署名されたマルウェアは、HiddenAdtrojans、情報盗難者、Metasploit、脅威アクターが感染したデバイスにさらに悪意のあるペイロードを展開するために使用できるマルウェアドロッパーが検出されました。

検索エンジンの巨人Googleは、影響を受けたすべてのベンダーに通知し、プラットフォームキーのローテーションを推奨し、漏洩の根本原因を調査し、将来のインシデントを防ぐためにAndroidプラットフォーム証明書で署名されたアプリの数を最小限に抑えるように助言しました。

これに加えて、Googleはプラットフォーム証明書で署名されたアプリの数を最小限に抑えることを強く推奨しています。これにより、将来同様の事態が発生した場合のプラットフォームキーのローテーションコストが大幅に削減されます。

感染した可能性のある証明書で署名されたすべてのAndroidアプリを知るには、APK Mirrorにアクセスして検索してください（SamsungおよびLGで署名されたアプリのリスト）。Googleは、影響を受けたすべてのベンダーが悪用されたプラットフォーム証明書について通知され、ユーザーへの影響を低減するための是正措置を講じたと述べています。ただし、Samsungは依然としてアプリにデジタル署名するために漏洩したプラットフォーム証明書キーを使用しています。

幸いなことに、これらのキーはアプリの更新用であり、OS更新用の署名キーではないため、影響を受けたベンダーは新しいシステムアプリを含む安全なOTA更新を引き続き展開できます。これにより、Google Play Protectを新しい互換性のあるキーで更新できますが、それには多くの作業が必要です。

Googleは、これらの感染したキーをAndroid Build Suiteに追加し、システムイメージをスキャンし、Google Play Protectもマルウェアをスキャンすることを追加しました。さらに、このマルウェアがGoogle Playストアに存在した証拠はなく、ユーザーには最新のAndroidバージョンを使用していることを確認するように推奨しています。

読む: A37グループのドルフィンマルウェアがデータを盗むために使用され、韓国の新聞をターゲットにする