Les pirates signent des applications Android malveillantes avec des certificats de plateforme compromis


Les certificats de plate-forme utilisés par les fournisseurs de smartphones Android tels que Samsung, LG et MediaTek se sont avérés abusés pour signer des applications malveillantes.

Les découvertes ont d’abord été découvert et signalé par Google reverse engineering Łukasz Siewierski jeudi.

« Un certificat de plate-forme est le certificat de signature d’application utilisé pour signer l’application » Android « sur l’image système », rapport déposé par l’intermédiaire de l’Android Partner Vulnerability Initiative (AVPI) lit.

« L’application ‘android’ s’exécute avec un identifiant utilisateur hautement privilégié – android.uid.system – et détient les autorisations système, y compris les autorisations d’accès aux données de l’utilisateur. »

La cyber-sécurité

Cela signifie effectivement qu’une application malveillante signée avec le même certificat peut obtenir le plus haut niveau de privilèges que le système d’exploitation Android, lui permettant de récolter toutes sortes d’informations sensibles à partir d’un appareil compromis.

La liste des packages d’applications Android malveillants qui ont abusé des certificats est ci-dessous –

  • com.russian.signato.renewis
  • com.sledsdffsjkh.Rechercher
  • com.android.power
  • com.gestion.propagande
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage
  • com.vantage.ectronic.cornmuni
Applications de logiciels malveillants Android

Cela dit, on ne sait pas immédiatement comment et où ces artefacts ont été trouvés, et s’ils ont été utilisés dans le cadre d’une campagne de malware active.

Une recherche sur VirusTotal montre que les échantillons identifiés ont été signalés par les solutions antivirus comme des logiciels publicitaires HiddenAds, Metasploit, des voleurs d’informations, des téléchargeurs et d’autres logiciels malveillants masqués.

Lorsqu’il a été contacté pour commenter, Google a déclaré qu’il avait informé tous les fournisseurs concernés de faire pivoter les certificats et qu’il n’y avait aucune preuve que ces applications avaient été livrées via le Play Store.

« Les partenaires OEM ont rapidement mis en œuvre des mesures d’atténuation dès que nous avons signalé le compromis clé », a déclaré la société à The Hacker News dans un communiqué. « Les utilisateurs finaux seront protégés par les mesures d’atténuation des utilisateurs mises en œuvre par les partenaires OEM. »

« Google a mis en place de larges détections pour le malware dans Build Test Suite, qui analyse les images système. Google Play Protect détecte également le malware. Rien n’indique que ce malware est ou était sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de assurez-vous qu’ils utilisent la dernière version d’Android. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57