Es wurde festgestellt, dass Plattformzertifikate von Android-Smartphone-Anbietern wie Samsung, LG und MediaTek zum Signieren bösartiger Apps missbraucht werden.
Die Entdeckungen wurden zuerst vom Google-Reverse-Ingenieur Łukasz Siewierski am Donnerstag entdeckt und gemeldet.
„Ein Plattformzertifikat ist das Anwendungssignaturzertifikat, das verwendet wird, um die ‚android‘-Anwendung auf dem Systemabbild zu signieren“, heißt es in einem Bericht, der über die Android Partner Vulnerability Initiative (AVPI) eingereicht wurde.
„Die ‚android‘-Anwendung wird mit einer hoch privilegierten Benutzerkennung – android.uid.system – ausgeführt und verfügt über Systemberechtigungen, einschließlich der Berechtigung zum Zugriff auf Benutzerdaten.“
Dies bedeutet, dass eine betrügerische Anwendung, die mit demselben Zertifikat signiert ist, die höchsten Privilegien wie das Android-Betriebssystem erlangen kann, was es ihr ermöglicht, alle Arten von sensiblen Informationen von einem kompromittierten Gerät zu sammeln.
Die Liste der bösartigen Android-Anwendungspakete, die die Zertifikate missbraucht haben, ist unten aufgeführt.
- com.russian.signato.renewis
- com.sledsdffsjkh.Search
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
- com.vantage.ectronic.cornmuni
Es ist jedoch nicht sofort klar, wie und wo diese Artefakte gefunden wurden und ob sie als Teil einer aktiven Malware-Kampagne verwendet wurden.
Eine Suche auf VirusTotal zeigt, dass die identifizierten Muster von Antivirenlösungen als HiddenAds Adware, Metasploit, Informationsdiebe, Downloader und andere verschleierte Malware gekennzeichnet wurden.
Auf Nachfrage teilte Google mit, dass es alle betroffenen Anbieter informiert hat, die Zertifikate zu rotieren, und dass es keine Beweise dafür gibt, dass diese Anwendungen über den Play Store vertrieben wurden.
„OEM-Partner haben umgehend Maßnahmen zur Schadensbegrenzung ergriffen, sobald wir die Kompromittierung des Schlüssels gemeldet haben“, so das Unternehmen in einer Erklärung gegenüber The Hacker News. „Die Endnutzer werden durch die von den OEM-Partnern implementierten Schutzmaßnahmen geschützt.“
„Google hat breite Erkennungen für die Malware in der Build Test Suite implementiert, die System-Images scannt. Google Play Protect erkennt die Malware ebenfalls. Es gibt keinen Hinweis darauf, dass sich diese Malware im Google Play Store befindet oder befand. Wie immer raten wir den Nutzern, sicherzustellen, dass sie die neueste Version von Android verwenden.“
Sie fanden diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
CISA warnt vor mehreren kritischen Schwachstellen bei Mitsubishi Electric PLCs