:::Гарант-Сервис ведёт общение только через ЛС Форума. Никаких Телеграм и прочих сервисов :::

СМИ Сертификаты Samsung и LG используются для подписи вредоносных приложений

user

Завсегдатай
Журналист

user

Завсегдатай
Журналист
Сообщения
469
Реакции
220
ТЕМА ЗАКРЫТА НА ПРОВЕРКУ! НЕ СОВЕРШАЙТЕ С ПОЛЬЗОВАТЕЛЕМ НИКАКИХ СДЕЛОК ДО ПРОХОЖДЕНИЯ ПРОВЕРКИ!
Каким образом сертификаты попали в руки хакеров – неизвестно.

You must be registered for see images

Сертификаты подписи системных приложений Android использовались злоумышленниками для подписи вредоносных приложений.
OEM-производители устройств Android используют сертификаты или ключи для подписи основных образов ПЗУ Anfroid устройств и связанных приложений. Если вредоносное приложение подписано тем же сертификатом, что и легитимное, и ему присвоен идентификатор пользователя с высокими привилегиями, это приложение также получит доступ на уровне системы к Android устройству.
Такие привилегии предоставляют доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям, сюда входит:

  • управление текущими вызовами;
  • установка или удаление пакетов;
  • сбор информации об устройстве и др.

Это неправомерное использование ключей платформы реверс-инженером Google по безопасности Android Лукашем Северски.
Северски обнаружил несколько образцов вредоносных программ, подписанных с использованием 10 сертификатов и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью. На данный момент неизвестно, кто злоупотребил этими сертификатами и каким образом распространялись образцы вредоносного ПО.
Поиск этих хэшей в VirusTotal показал, что некоторые из сертификатов принадлежат Samsung Electronics, LG Electronics, Revoview и Mediatek. Вредоносное ПО, подписанное с помощью сертификатов компаний, включает:​

  • троян HiddenAds – отображает рекламу на экране блокировки, которая занимает весь экран устройства;
  • инфостилер – похищает конфиденциальную информацию о пользователе и его учетные данные;
  • Metasploit – инструмент для пентеста, который можно использовать для разработки и распространения эксплойтов;
  • дроппер – приложения, которые содержат в себе дополнительные полезные нагрузки для заражения устройства.

Чтобы увидеть все приложения, подписанные этими потенциально скомпрометированными сертификатами, можно использовать APKMirror для их поиска (список приложений, , и одно приложение, ). Google проинформировал всех затронутых поставщиков и посоветовал им сменить сертификаты своих платформ, расследовать утечку и свести к минимуму количество приложений, подписанных их сертификатами, чтобы предотвратить будущие инциденты.
источник:
 
Статистика форума
Темы
8,719
Сообщения
39,235
Пользователи
10,360
Новый пользователь
joker_boss
Сверху