Especialistas em segurança da informação que trabalham como parte da Google Android Partner Vulnerability Initiative (APVI) descobriram casos de certificados legítimos sendo usados para assinar aplicativos maliciosos para dispositivos Android. Normalmente, esses certificados ou chaves de plataforma são usados pelos fabricantes de dispositivos para assinar aplicativos do sistema.
Fonte da imagem: Bleeping Computer
«Um certificado de plataforma é um certificado de assinatura de aplicativo usado para assinar um aplicativo Android em uma imagem do sistema. O aplicativo Android é executado com um ID de usuário altamente privilegiado – android.uid.system – e possui permissões de sistema, incluindo permissão para acessar dados do usuário. Qualquer outro aplicativo assinado com o mesmo certificado pode funcionar com o mesmo ID de usuário, o que lhe dá o mesmo nível de acesso ao sistema operacional Android”, disse Lukasz Siewirski, um dos participantes da iniciativa APVI.
O pesquisador encontrou várias amostras de malware que foram assinadas com dez certificados e forneceram os hashes SHA256 para cada um deles. Algumas das certificações são supostamente mantidas pela Samsung, LG e MediaTek. No momento, não há informações sobre como os certificados para assinatura de aplicativos do sistema caíram nas mãos dos invasores. Também não há informações sobre onde as amostras de malware foram encontradas, portanto, não se pode descartar que o pesquisador as tenha encontrado na loja de conteúdo digital da Play Store.
Nomes de pacotes de 10 aplicativos que foram assinados com certificados comprometidos
Ao pesquisar os hashes publicados pelo pesquisador no banco de dados VirusTotal, foi possível detectar alguns malwares assinados pelos certificados das empresas citadas. O Google notificou os parceiros afetados por esse problema e recomendou a alteração dos certificados usados para assinar aplicativos legítimos.