Chứng chỉ nền tảng được sử dụng bởi các nhà cung cấp điện thoại thông minh Android như Samsung, LG và MediaTek đã bị phát hiện bị lạm dụng để ký các ứng dụng độc hại.
"Chứng chỉ nền tảng là chứng chỉ ký ứng dụng được sử dụng để ký ứng dụng 'android' trên hình ảnh hệ thống", một báo cáo được gửi thông qua Sáng kiến Lỗ hổng đối tác Android (AVPI) cho biết.
"Ứng dụng 'android' chạy với id người dùng có đặc quyền cao – android.uid.system – và nắm giữ các quyền hệ thống, bao gồm quyền truy cập dữ liệu người dùng".
Điều này có nghĩa là một ứng dụng giả mạo được ký bằng cùng một chứng chỉ có thể nhận được các đặc quyền ở mức cao nhất như hệ điều hành Android, cho phép ứng dụng này thu thập tất cả các loại thông tin nhạy cảm từ một thiết bị bị xâm nhập.
Dưới đây là danh sách các gói ứng dụng Android độc hại đã lợi dụng chứng chỉ nền tảng:
- com.russian.signato.renewis
- com.sledsdffsjkh.Search
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
- com.vantage.ectronic.cornmuni
Hiện không rõ những mã độc này được tìm thấy như thế nào và ở đâu, liệu chúng có được sử dụng như một phần của bất kỳ chiến dịch phần mềm độc hại đang hoạt động nào hay không.
Tìm kiếm trên VirusTotal cho thấy các mẫu được xác định đã bị các giải pháp chống vi-rút gắn cờ là phần mềm quảng cáo HiddenAds, Metasploit, phần mềm đánh cắp thông tin, trình tải xuống và phần mềm độc hại che giấu khác.
Khi đưa ra bình luận, Google cho biết họ đã thông báo cho tất cả các nhà cung cấp bị ảnh hưởng để xoay vòng chứng chỉ và không có bằng chứng nào cho thấy các ứng dụng này đã được phân phối qua Play Store.
"Các đối tác OEM đã nhanh chóng thực hiện các biện pháp giảm thiểu ngay khi chúng tôi báo cáo về sự xâm phạm chính", Google tuyên bố. "Người dùng cuối sẽ được bảo vệ bởi các biện pháp giảm thiểu người dùng do các đối tác OEM triển khai".
"Google đã triển khai tính năng phát hiện rộng rãi phần mềm độc hại trong Build Test Suite - được dùng để quét hình ảnh hệ thống. Google Play Protect cũng có chức năng phát hiện phần mềm độc hại. Không có dấu hiệu nào cho thấy phần mềm độc hại này đã hoặc đang có trên Cửa hàng Google Play. Như thường lệ, chúng tôi khuyên người dùng nên đảm bảo thiết bị của mình đang chạy phiên bản Android mới nhất".
https://thehackernews.com/2022/12/hackers-sign-android-malware-apps-with.html