Бесплатно Экспресс-аудит сайта:

03.12.2022

Сертификаты Samsung и LG используются для подписи вредоносных приложений

Сертификаты подписи системных приложений Android использовались злоумышленниками для подписи вредоносных приложений.

OEM-производители устройств Android используют сертификаты или ключи для подписи основных образов ПЗУ Anfroid устройств и связанных приложений. Если вредоносное приложение подписано тем же сертификатом, что и легитимное, и ему присвоен идентификатор пользователя с высокими привилегиями, это приложение также получит доступ на уровне системы к Android устройству.

Такие привилегии предоставляют доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям, сюда входит:

  • управление текущими вызовами;
  • установка или удаление пакетов;
  • сбор информации об устройстве и др.

Это неправомерное использование ключей платформы было обнаружено реверс-инженером Google по безопасности Android Лукашем Северски.

Северски обнаружил несколько образцов вредоносных программ, подписанных с использованием 10 сертификатов и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью. На данный момент неизвестно, кто злоупотребил этими сертификатами и каким образом распространялись образцы вредоносного ПО.

Поиск этих хэшей в VirusTotal показал, что некоторые из сертификатов принадлежат Samsung Electronics, LG Electronics, Revoview и Mediatek. Вредоносное ПО, подписанное с помощью сертификатов компаний, включает:

  • троян HiddenAds – отображает рекламу на экране блокировки, которая занимает весь экран устройства;
  • инфостилер – похищает конфиденциальную информацию о пользователе и его учетные данные;
  • Metasploit – инструмент для пентеста, который можно использовать для разработки и распространения эксплойтов;
  • дроппер – приложения, которые содержат в себе дополнительные полезные нагрузки для заражения устройства.

Чтобы увидеть все приложения, подписанные этими потенциально скомпрометированными сертификатами, можно использовать APKMirror для их поиска (список приложений, подписанных сертификатом Samsung , и одно приложение, подписанное сертификатом LG ). Google проинформировал всех затронутых поставщиков и посоветовал им сменить сертификаты своих платформ, расследовать утечку и свести к минимуму количество приложений, подписанных их сертификатами, чтобы предотвратить будущие инциденты.