Vários Chaves de Assinatura de OEMs Android Vazadas, Usadas para Assinar Malware

Em um desenvolvimento recente, várias chaves de assinatura usadas pelos OEMs Android para assinar digitalmente os principais aplicativos do sistema foram usadas para assinar aplicativos Android com malware.

Bem, no Android, para atualizar um aplicativo, a chave de assinatura no seu telefone precisa corresponder às chaves da atualização que você está instalando, então a chave correspondente autentica que a atualização é legítima, vindo do OEM (Fabricante de Equipamento Original) ou do desenvolvedor que fez o aplicativo, e não de alguma fonte maliciosa.

Portanto, o procedimento de atualização de aplicativos não é apenas para os aplicativos que você baixa da Google Play Store, mas também para os aplicativos empacotados que você pode atualizar, que vêm do Google ou do OEM. Já existe um conjunto firme de regras ou permissões para os aplicativos que você baixa da loja, embora os aplicativos empacotados tenham mais acesso a permissões muito mais poderosas do que aqueles na loja.

Se o OEM perder ou já perdeu sua chave de assinatura de aplicativo do sistema e se os aplicativos maliciosos forem assinados com a mesma chave de assinatura, que está alinhada a um id de usuário altamente privilegiado ‘android.uid.system’, então os aplicativos também obterão acesso a nível de sistema ao dispositivo Android.

Esses privilégios dão acesso a permissões poderosas que normalmente não são concedidas a aplicativos, como instalar ou excluir pacotes, gerenciar chamadas em andamento, coletar informações sobre o dispositivo ou outras atividades sensíveis.

O uso abusivo dessas chaves foi descoberto pela primeira vez por Lukasz Siewierski, que é Engenheiro de Reserva na equipe de Segurança Android do Google, o relatório que agora está disponível no rastreador da Iniciativa de Vulnerabilidade de Parceiros Android.

De acordo com a APVI, um certificado de plataforma é um certificado de assinatura de aplicativo usado para assinar aplicativos Android na imagem do sistema. O aplicativo android é executado com um id de usuário de alto privilégio ‘android.uid.system’, que possui permissão de sistema que inclui permissão para acessar dados do usuário.

Além disso, Siewierski encontrou vários assinados usando esses dez certificados de plataforma Android e forneceu os hashes SHA256 para cada uma das amostras e certificados assinados digitalmente.

Neste momento, não há informações disponíveis sobre como essas chaves de certificado foram vazadas para assinar malware ou se um ou mais atores de ameaça têm acesso a elas, ou se alguém de dentro com autorização assinou o APK com as chaves do OEM. Além disso, não há informações sobre onde essas amostras de malware foram encontradas ou se foram compartilhadas na loja ou em qualquer loja de terceiros.

Esses são dez pacotes de chaves de plataforma Android

com.russian.signato.renewis  
com. sledsdffsjkh.Search  
com. android.power  
com.management. propaganda  
com.sec.android.musicplayer.  
com.houla.quicken|  
com.attd.da  
com.arlo.fappx  
com.metasploit .stage  
com.vantage .ectronic .cornmuni

se você executar uma pesquisa no Virustool do Google para todos esses hashes revela que esses certificados de plataforma pertencem à Samsung, LG, MediaTek, Revoview e Szroco.

O malware que foi assinado com seus certificados foi detectado como HiddenAdtrojans, ladrões de informações e Metasploit, e os droppers de malware que os atores de ameaça podem usar para implantar mais cargas maliciosas no dispositivo infectado.

O gigante dos motores de busca Google emitiu um comunicado informando todos os fornecedores que foram afetados e aconselhou-os a rotacionar suas chaves de plataforma, além de investigar qual foi a causa raiz do vazamento, e manter o número de aplicativos assinados com seu certificado de plataforma Android ao mínimo para evitar que o incidente ocorra no futuro.

Para acrescentar a isso, o Google também recomenda firmemente minimizar o número de aplicativos assinados com o certificado de plataforma, pois isso reduzirá significativamente o custo de rotação das chaves de plataforma se algo semelhante acontecer no futuro.

Para saber todos os aplicativos Android assinados com certificados possivelmente infectados, vá para o APK Mirror e pesquise por eles (lista dos aplicativos assinados com Samsung e LG). Embora o Google tenha dito que todos os fornecedores afetados foram informados sobre os certificados de plataforma abusados e tomaram medidas corretivas para reduzir o impacto nos usuários. No entanto, a Samsung ainda está usando as chaves de certificado de plataforma que foram vazadas para assinar digitalmente aplicativos.

Felizmente, essas chaves são apenas para as atualizações de aplicativos, não as chaves para assinar atualizações de SO, então o fornecedor afetado ainda pode lançar atualizações OTA seguras que incluem novos aplicativos do sistema com os quais podem atualizar o Google Play Protect com novas chaves que são compatíveis, embora isso seja muito trabalho.

O Google acrescentou que adicionou essas chaves infectadas ao Android Build Suite, que escaneia as imagens do sistema e o Google Play Protect também escaneia em busca de malware. Além disso, não há evidências de que esse malware esteja ou esteve na Google Play Store, e recomenda que os usuários se certifiquem de que estão na versão mais recente do Android.

Leia: O Malware Dolphin do Grupo A37 Usado para Roubar Dados e Alvo do Jornal Sul-Coreano