Ein Bericht des Android-Sicherheitsteams von Google ergab, dass Mehrere Zertifikate der Android-Plattform wurden missbraucht, um schädliche Apps zu signieren, die ihnen Root-Rechte auf dem Gerät verschafften.
Plattformzertifikate sind vertrauenswürdige digitale Schlüssel, die den jeweiligen Geräteherstellern gehören und zum Signieren ihrer Kern-Apps verwendet werden. Wenn sie also zum Signieren von mit Malware infizierten Apps missbraucht werden, erhalten diese Root-Zugriff als legitime Apps, was zu Problemen für die Benutzer führt.
Missbrauch der Android-Plattformzertifikate
Unbekannt ist, dass jeder Geräte-OEM über bestimmte vertrauenswürdige Zertifikate verfügt, um seine Kern-Apps auf der Plattform zu signieren – ähnlich wie bei der Authentifizierung von Dokumenten mit einer Signatur. Diese würden es den signierten Apps ermöglichen, Root-Rechte für die internen Komponenten des Systems zu erhalten, um besser arbeiten zu können.
Nun, diese werden jetzt von Bedrohungsakteuren im Fall von Android-Geräten missbraucht, wo ein Reverse Engineer des Android-Sicherheitsteams von Google einige Malware-Apps entdeckte, die mit vertrauenswürdigen Plattformzertifikaten legitimer OEMs signiert waren.
Neuer APVI-Eintrag: Plattformzertifikate zum Signieren von Malware
Gefunden von mir 🙂https://t.co/qiFMJW111A
— Łukasz (@[email protected]) (@maldr0id) 30. November 2022
Wie im Issue-Tracker der Android Partner Vulnerability Initiative (AVPI) vermerkt, wurden die folgenden Malware-Beispiele mit zehn Android-Plattformzertifikaten signiert. Die Absicht dahinter ist unbekannt.
com.russian.signato.renewis com.sledsdffsjkh.Search com.android.power com.management.propaganda com.sec.android.musicplayer com.houla.quicken com.attd.da com.arlo.fappx com.metasploit.stage com.vantage.ectronic.cornmuni
Es gibt keine Informationen darüber, wie die Bedrohungsakteure diese Zertifikate erhalten oder sie von jemandem innerhalb eines Unternehmens oder anderswo weitergegeben haben. Eine Suche von BleepingComputer auf VirusTotal ergab, dass einige der missbrauchten Plattformzertifikate zu Samsung Electronics, LG Electronics, Revoview, Und Mediatek.
Mit den Plattformzertifikaten dieser OEMs signierte Apps enthalten HiddenAd-Trojaner, Informationsdiebe, Metasploit und Malware-Dropper, mit denen vertrauliche Daten von Gerätebenutzern abgesaugt und sogar zusätzliche Malware bereitgestellt werden können.
Während Google alle betroffenen Anbieter über diesen Vorfall informierte und sie aufforderte, ihre Plattformzertifikate zu rotieren, hat Samsung ihn möglicherweise ignoriert – da seine Plattformzertifikate noch immer missbraucht werden, um die Apps digital zu signieren.
