Несколько ключей подписи Android OEM утекли, использованы для подписи вредоносного ПО

В недавнем развитии событий несколько ключей подписи, используемых производителями Android для цифровой подписи основных системных приложений, были использованы для подписи Android-приложений с вредоносным ПО.

Что касается Android, для обновления приложения ключ подписи на вашем телефоне должен совпадать с ключами обновления, которое вы устанавливаете, тогда совпадающий ключ аутентифицирует, что обновление действительно поступает от OEM (производителя оригинального оборудования) или разработчика, который создал приложение, а не от какого-либо злонамеренного источника.

Таким образом, процедура обновления приложения касается не только приложений, которые вы загружаете из Google Play Store, но и встроенных приложений, которые вы можете обновить, которые поступают от Google или OEM. Существуют уже четкие правила или разрешения для приложений, которые вы загружаете из магазина приложений, хотя встроенные приложения имеют доступ к гораздо более мощным разрешениям, чем те, что в магазине приложений.

Если OEM теряет или уже потерял свой ключ подписи системного приложения, и если вредоносные приложения подписаны тем же ключом подписи, который соответствует высокопривилегированному идентификатору пользователя ‘android.uid.system’, то эти приложения также получат доступ на уровне системы к устройству Android.

Эти привилегии дают доступ к мощным разрешениям, которые обычно не предоставляются приложениям, таким как установка или удаление пакетов, управление текущими вызовами, сбор информации об устройстве или другие чувствительные действия.

Злоупотребление этими ключами было впервые обнаружено Лукашом Сиверским, который является резервным инженером в команде безопасности Google Android, отчет, который сейчас доступен на трекере инициативы уязвимости партнеров Android.

Согласно APVI, сертификат платформы — это сертификат подписи приложения, используемый для подписи Android-приложений на системном образе. Android-приложение работает с высокими привилегиями идентификатора пользователя ‘android.uid.system’, который имеет системные разрешения, включая разрешение на доступ к пользовательским данным.

Более того, Сиверский нашел несколько подписанных с использованием этих десяти сертификатов платформы Android и предоставил SHA256 хэши для каждого из образцов и цифрово подписанных сертификатов.

На данный момент нет информации о том, как эти ключи сертификатов были утечены для подписания вредоносного ПО или есть ли у одного или нескольких злоумышленников доступ к ним, или если кто-то из внутреннего круга с разрешением подписал APK с ключами OEM. Также нет информации о том, где были найдены эти образцы вредоносного ПО или были ли они распространены в магазине приложений или в каких-либо сторонних магазинах.

Это десять пакетов ключей платформы Android

com.russian.signato.renewis  
com. sledsdffsjkh.Search  
com. android.power  
com.management. propaganda  
com.sec.android.musicplayer.  
com.houla.quicken|  
com.attd.da  
com.arlo.fappx  
com.metasploit .stage  
com.vantage .ectronic .cornmuni

Если вы выполните поиск на Virustool от Google по всем этим хэшам, это покажет, что эти сертификаты платформы принадлежат Samsung, LG, MediaTek, Revoview и Szroco.

Вредоносное ПО, подписанное их сертификатами, было обнаружено как HiddenAdtrojans, кража информации и Metasploit, а также вредоносные дроперы, которые злоумышленники могут использовать для развертывания более вредоносных загрузок на зараженном устройстве.

Гигант поисковых систем Google выпустил заявление, информируя всех затронутых поставщиков и посоветовал им заменить свои ключи платформы, а также расследовать, что стало коренной причиной утечки, и свести количество приложений, подписанных их ключами платформы Android, к минимуму, чтобы предотвратить подобные инциденты в будущем.

Кроме того, Google также настоятельно рекомендует минимизировать количество приложений, подписанных сертификатом платформы, так как это значительно снизит стоимость замены ключей платформы, если подобное произойдет в будущем.

Чтобы узнать все подписанные Android-приложения с возможно зараженными сертификатами, перейдите на APK Mirror и выполните поиск по ним (список приложений, подписанных Samsung и LG). Хотя Google заявила, что все затронутые поставщики были проинформированы о злоупотреблении сертификатами платформы и приняли корректирующие меры для снижения воздействия на пользователей. Однако Samsung все еще использует ключи сертификатов платформы, которые были утечены для цифровой подписи приложений.

К счастью, эти ключи предназначены только для обновлений приложений, а не для подписания обновлений ОС, поэтому затронутый поставщик все еще может развернуть безопасные OTA-обновления, которые включают новые системные приложения, с помощью которых они могут обновить Google Play Protect с новыми ключами, которые совместимы, хотя это потребует много работы.

Google добавила, что они добавили эти зараженные ключи в Android Build Suite, который сканирует системные образы, а Google Play Protect также сканирует на наличие вредоносного ПО. Более того, нет доказательств того, что это вредоносное ПО было или есть в Google Play Store, и рекомендуется, чтобы пользователи убедились, что они используют последнюю версию Android.

Читать: Вредоносное ПО Dolphin группы A37 использовалось для кражи данных и нацеливания на южнокорейскую газету