Les certificats de plate-forme utilisés par les fournisseurs de smartphones Android tels que Samsung, LG et MediaTek se sont avérés abusés pour signer des applications malveillantes.

Les découvertes ont été découvertes et rapportées pour la première fois par l’ingénieur inverse de Google, Łukasz Siewierski, jeudi.

« Un certificat de plate-forme est le certificat de signature d’application utilisé pour signer l’application » Android « sur l’image système », indique un rapport déposé via l’Android Partner Vulnerability Initiative (AVPI).

« L’application ‘android’ s’exécute avec un identifiant utilisateur hautement privilégié – android.uid.system – et détient les autorisations système, y compris les autorisations d’accès aux données de l’utilisateur. »

Cela signifie effectivement qu’une application malveillante signée avec le même certificat peut obtenir le plus haut niveau de privilèges que le système d’exploitation Android, lui permettant de récolter toutes sortes d’informations sensibles à partir d’un appareil compromis.

La liste des packages d’applications Android malveillants qui ont abusé des certificats est ci-dessous –

  • com.russian.signato.renewis
  • com.sledsdffsjkh.Search
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage
  • com.vantage.ectronic.cornmuni

Cela dit, on ne sait pas immédiatement comment et où ces artefacts ont été trouvés, et s’ils ont été utilisés dans le cadre d’une campagne de malware active. Une recherche sur VirusTotal montre que les échantillons identifiés ont été signalés par les solutions antivirus comme des logiciels publicitaires HiddenAds, Metasploit, des voleurs d’informations, des téléchargeurs et d’autres logiciels malveillants masqués. Lorsqu’il a été contacté pour commenter, Google a déclaré qu’il avait informé tous les fournisseurs concernés de faire pivoter les certificats et qu’il n’y avait aucune preuve que ces applications avaient été livrées via le Play Store. « Les partenaires OEM ont rapidement mis en œuvre des mesures d’atténuation dès que nous avons signalé le compromis clé », a déclaré la société à breachtrace dans un communiqué. « Les utilisateurs finaux seront protégés par les mesures d’atténuation des utilisateurs mises en œuvre par les partenaires OEM. » « Google a mis en place de larges détections pour le malware dans Build Test Suite, qui analyse les images système. Google Play Protect détecte également le malware. Rien n’indique que ce malware est ou était sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de assurez-vous qu’ils utilisent la dernière version d’Android. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *