Se descubrió que los certificados de plataforma utilizados por los proveedores de teléfonos inteligentes Android como Samsung, LG y MediaTek se abusan para firmar aplicaciones maliciosas.
Los hallazgos fueron primero descubierto y denunciado por el ingeniero inverso de Google Łukasz Siewierski el jueves.
«Un certificado de plataforma es el certificado de firma de la aplicación que se usa para firmar la aplicación ‘android’ en la imagen del sistema», un informe presentado a través de la Iniciativa de vulnerabilidad de socios de Android (AVPI) lee.
«La aplicación ‘android’ se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario».
Esto significa que una aplicación no autorizada firmada con el mismo certificado puede obtener el nivel más alto de privilegios que el sistema operativo Android, lo que le permite recopilar todo tipo de información confidencial de un dispositivo comprometido.
La lista de paquetes de aplicaciones de Android maliciosos que han abusado de los certificados se encuentra a continuación:
- com.ruso.signato.renewis
- com.sledsdffsjkh.Buscar
- com.android.poder
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
- com.vantage.ectronic.cornmuni
Dicho esto, no está claro de inmediato cómo y dónde se encontraron estos artefactos, y si se usaron como parte de alguna campaña activa de malware.
Una búsqueda en VirusTotal muestra que las muestras identificadas han sido marcadas por soluciones antivirus como adware HiddenAds, Metasploit, ladrones de información, descargadores y otro malware ofuscado.
Cuando se contactó para hacer comentarios, Google dijo que informó a todos los proveedores afectados que rotaran los certificados y que no hay evidencia de que estas aplicaciones se hayan entregado a través de Play Store.
«Los socios OEM implementaron rápidamente medidas de mitigación tan pronto como informamos el compromiso clave», dijo la compañía a The Hacker News en un comunicado. «Los usuarios finales estarán protegidos por las mitigaciones de usuarios implementadas por los socios OEM».
«Google ha implementado detecciones amplias para el malware en Build Test Suite, que escanea imágenes del sistema. Google Play Protect también detecta el malware. No hay indicios de que este malware esté o haya estado en Google Play Store. Como siempre, recomendamos a los usuarios que asegúrese de que estén ejecutando la última versión de Android».