En rapport från Googles Android-säkerhetsteam avslöjade det flera Android-plattformscertifikat missbrukades för att signera skadliga appar – som låter dem få root-privilegier för enheten.
Plattformscertifikat är de betrodda digitala nycklarna som ägs av respektive enhets-OEM och används för att signera deras kärnappar. Att missbruka dem för att signera appar med skadlig programvara kommer att ge dem root-åtkomst som legitima appar, vilket orsakar problem för användarna.
Missbruk av Android-plattformens certifikat
Till det okända kommer varje enhets-OEM där ute att ha vissa pålitliga certifikat för att signera sina kärnappar på plattformen – liknande att autentisera dokument med en signatur. Dessa skulle tillåta de signerade apparna att få root-privilegier till systemets interna för att fungera bättre.
Tja, dessa missbrukas nu av hotaktörer när det gäller Android-enheter, där en omvänd tekniker vid Googles Android Security-team upptäckte några skadliga program som signerats med pålitliga plattformscertifikat från legitima OEM-tillverkare.
Ny APVI-post: plattformscertifikat som används för att signera skadlig programvara
Hittade av din sanning 🙂https://t.co/qiFMJW111A
— Łukasz (@[email protected]) (@maldr0id) 30 november 2022
Som noterade i Android Partner Vulnerability Initiative (AVPI) ärendespårare signerades nedanstående prover på skadlig programvara med tio Android-plattformscertifikat, med den okända avsikten varför.
com.russian.signato.renewis com.sledsdffsjkh.Search com.android.power com.management.propaganda com.sec.android.musicplayer com.houla.quicken com.attd.da com.arlo.fappx com.metasploit.stage com.vantage.ectronic.cornmuni
Det finns ingen information om hur hotaktörerna har erhållit dessa certifikat eller läckt dem av någon inom ett företag eller annat. Tja, en sökning av BleepingComputer på VirusTotal avslöjade att några av de missbrukade plattformscertifikaten tillhör Samsung Electronics, LG Electronics, Revoview, och Mediatek.
Appar som signerades med dessa OEM-plattformscertifikat har HiddenAd-trojaner, informationsstöldare, Metasploit och skadlig programvara – som kan användas för att suga in känslig data från enhetsanvändare och till och med leverera ytterligare skadlig programvara.
Medan Google informerade alla berörda leverantörer om denna incident och bad dem att rotera sina plattformscertifikat, kan Samsung ha ignorerat det – eftersom dess plattformscertifikat fortfarande missbrukas för att digitalt signera apparna.
