Certificados de la plataforma Android utilizados para firmar aplicaciones de malware

Un informe del equipo de seguridad de Android de Google reveló que se abusó de varios certificados de la plataforma Android para firmar aplicaciones maliciosas, lo que les permitió obtener privilegios de raíz del dispositivo.

Los certificados de plataforma son las claves digitales de confianza propiedad de los respectivos OEM de dispositivos y se utilizan para firmar sus aplicaciones principales. Por lo tanto, abusar de ellos para firmar aplicaciones con malware les otorgará acceso de root como aplicaciones legítimas, lo que causará problemas a los usuarios.

Abusar de los certificados de la plataforma Android

Para los desconocidos, todos los OEM de dispositivos tendrán ciertos certificados confiables para firmar sus aplicaciones principales en la plataforma, similar a la autenticación de documentos con una firma. Esto permitiría que las aplicaciones firmadas obtengan privilegios de root en las partes internas del sistema para un mejor funcionamiento.

Bueno, ahora los actores de amenazas abusan de ellos en el caso de los dispositivos Android , donde un ingeniero inverso del equipo de seguridad de Android de Google detectó algunas aplicaciones de malware firmadas con certificados de plataforma confiable de OEM legítimos.

Como se indica en el rastreador de problemas de la Iniciativa de vulnerabilidad de socios de Android (AVPI), las siguientes muestras de malware se firmaron con diez certificados de la plataforma Android, con la intención desconocida de por qué.

com.russian.signato.renewis
com.sledsdffsjkh.Search
com.android.power
com.management.propaganda
com.sec.android.musicplayer
com.houla.quicken
com.attd.da
com.arlo.fappx
com.metasploit.stage
com.vantage.ectronic.cornmuni

No hay información sobre cómo los actores de amenazas obtuvieron estos certificados o cómo alguien dentro de una empresa u otra los filtró. Bueno, una búsqueda realizada por BleepingComputer en VirusTotal reveló que algunos de los certificados de plataforma abusados ​​pertenecen a Samsung Electronics, LG Electronics, Revoview y Mediatek.

Las aplicaciones que se firmaron con estos certificados de plataforma de OEM tienen troyanos HiddenAd, ladrones de información, Metasploit y droppers de malware, que se pueden usar para absorber los datos confidenciales de los usuarios del dispositivo e incluso entregar malware adicional.

Si bien Google informó a todos los proveedores afectados sobre este incidente y les pidió que rotaran sus certificados de plataforma, es posible que Samsung lo haya ignorado, ya que todavía se abusa de sus certificados de plataforma para firmar digitalmente las aplicaciones.