×

Сертификаты Samsung и LG используются для подписи вредоносных приложений

Сертификаты Samsung и LG используются для подписи вредоносных приложений

Каким образом сертификаты попали в руки хакеров – неизвестно.

Сертификаты подписи системных приложений Android использовались злоумышленниками для подписи вредоносных приложений.

OEM-производители устройств Android используют сертификаты или ключи для подписи основных образов ПЗУ Anfroid устройств и связанных приложений. Если вредоносное приложение подписано тем же сертификатом, что и легитимное, и ему присвоен идентификатор пользователя с высокими привилегиями, это приложение также получит доступ на уровне системы к Android устройству.

Такие привилегии предоставляют доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям, сюда входит:

  • управление текущими вызовами;
  • установка или удаление пакетов;
  • сбор информации об устройстве и др.

Это неправомерное использование ключей платформы было обнаружено реверс-инженером Google по безопасности Android Лукашем Северски.

Северски обнаружил несколько образцов вредоносных программ, подписанных с использованием 10 сертификатов и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью. На данный момент неизвестно, кто злоупотребил этими сертификатами и каким образом распространялись образцы вредоносного ПО.

Поиск этих хэшей в VirusTotal показал, что некоторые из сертификатов принадлежат Samsung Electronics, LG Electronics, Revoview и Mediatek. Вредоносное ПО, подписанное с помощью сертификатов компаний, включает:

  • троян HiddenAds – отображает рекламу на экране блокировки, которая занимает весь экран устройства;
  • инфостилер – похищает конфиденциальную информацию о пользователе и его учетные данные;
  • Metasploit – инструмент для пентеста, который можно использовать для разработки и распространения эксплойтов;
  • дроппер – приложения, которые содержат в себе дополнительные полезные нагрузки для заражения устройства.

Чтобы увидеть все приложения, подписанные этими потенциально скомпрометированными сертификатами, можно использовать APKMirror для их поиска (список приложений, подписанных сертификатом Samsung , и одно приложение, подписанное сертификатом LG ). Google проинформировал всех затронутых поставщиков и посоветовал им сменить сертификаты своих платформ, расследовать утечку и свести к минимуму количество приложений, подписанных их сертификатами, чтобы предотвратить будущие инциденты.

Искусственный интеллект: революция или угроза? Билл Гейтс дает свой ответ

Билл Гейтс рассуждает, как искусственный интеллект может быть использован для решения социальных проблем.

Российские организации требуют от Арбитражного суда Москвы более 900 млн рублей от Oracle

Российское юрлицо Oracle уже направило апелляционную жалобу на введение наблюдения. Как это повлияет на процесс банкротства?

CISO – Forum 2023 совсем скоро!

14 апреля CISO крупнейших компаний Москвы и регионов соберутся на 16-м CISO FORUM.