Popular
20 Increíbles Hacks Android que probablemente nunca habrás oído antes
HomeNoticiasLos certificados de Samsung, LG y Mediatek firman malware para Android
Autor del artículo
Daniel Cepeda
Autor y especialista técnico en plataformas móviles.
Artículos escritos
0

Los certificados de Samsung, LG y Mediatek firman malware para Android

Last Updated on diciembre 20, 2022 by Daniel Cepeda

Se descubrió que los certificados utilizados por los fabricantes de equipos originales de Android para firmar aplicaciones básicas del sistema también se utilizaban para firmar malware.

Google informa de que los OEM de Android utilizan certificados o claves especiales para firmar las imágenes ROM maestras de los dispositivos que contienen el propio sistema operativo y las aplicaciones relacionadas. Si las aplicaciones se firman con un certificado de este tipo y se les asigna un ID android.uid.system con privilegios elevados, obtienen acceso al dispositivo a nivel de sistema.

Estos privilegios dan acceso a permisos sensibles que normalmente no se conceden a las apps: gestión de llamadas en curso, instalación o eliminación de paquetes, recopilación de información del dispositivo y otras actividades similares.

El uso indebido de estos certificados de plataforma fue descubierto por Łukasz Siewierski, ingeniero inverso del equipo de seguridad de Android.

Łukasz Siewierski
Łukasz Siewierski
Ingeniero inverso en Google
New APVI entry: platform certificates used to sign malware
Found by yours truly 🙂

Siewierski encontró varias muestras de malware firmado con los certificados mencionados y proporcionó hashes SHA256 para cada uno de ellos. Queda por ver cuál fue la causa del uso indebido de los certificados: si los atacantes los robaron, o si un infiltrado con el acceso adecuado firmó los APK maliciosos de esta forma.

A continuación se enumeran los paquetes maliciosos detectados.

Google
Google
Expertos de Google
Un certificado de plataforma es un certificado de firma de aplicación utilizado para firmar una aplicación android en la imagen del sistema. La aplicación android se ejecuta con un identificador de usuario con privilegios elevados - android.uid.system - y contiene permisos del sistema, incluidos permisos para acceder a los datos del usuario", explican los expertos de Google. - Cualquier otra aplicación firmada con el mismo certificado podría declarar que quiere ejecutarse con el mismo identificador, dándole el mismo nivel de acceso al sistema operativo Android.

Tampoco se sabe aún si las muestras de malware se encontraron en Google Play Store, en tiendas de terceros o si las aplicaciones de los delincuentes se distribuyeron de alguna otra forma.

  • com.russian.signato.renewis
  • com.sledsdffsjkh.Buscar
  • com.android.power
  • com.gestión.propaganda
  • com.sec.android.musicplayer

  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage
  • com.vantage.ectronic.cornmuni

Bleeping Computer comprobó los hashes del malware a través de VirusTotal y descubrió que algunos de los certificados mal utilizados pertenecían a Samsung Electronics, LG Electronics, Revoview y Mediatek. Aún no se ha podido determinar la titularidad de otros certificados.

El malware firmado de esta manera son troyanos de la familia HiddenAd, infostealers sin nombre, Metasploit y droppers que los atacantes utilizan para entregar cargas útiles adicionales a los dispositivos comprometidos.

Google
Google
Expertos de Google
Google afirma que ya ha notificado el abuso a todos los proveedores afectados y les ha aconsejado que cambien los certificados e investiguen la filtración para averiguar cómo se ha producido y mantener al mínimo el número de aplicaciones firmadas con sus certificados. Según la empresa, "todas las partes afectadas ya han tomado medidas correctoras para minimizar el impacto en los usuarios."

Los periodistas escriben que una forma sencilla de obtener una lista de todas las apps firmadas con certificados comprometidos: utilizar APKMirror (apps firmadas con certificado Samsung, apps firmadas con certificado LG).

Dicho esto, Bleeping Computer señala que no todos los proveedores parecen haber seguido las recomendaciones de Google, ya que en el caso de Samsung se siguen utilizando certificados comprometidos para firmar aplicaciones.

Google ha asegurado a los periodistas que ya ha añadido herramientas para detectar certificados comprometidos en Android Build Test Suite (BTS), y el malware se detectará a través de Google Play Protect.

Anteriormente
NoticiasLastPass hackeado. Los hackers han accedido a los datos de los clientes.
Siguiente
NoticiasLos teléfonos Android pueden ser intervenidos mediante sensores de movimiento
Malas.
0
Bien.
0
Genial.
1
Las vulnerabilidades de TikTok te permitieron capturar la cuenta de otra persona con un solo clic
Noticias
Las vulnerabilidades de TikTok te permitieron capturar la cuenta de otra persona con un solo clic
Leer más
Encontrada otra forma de “romper” el Wi-Fi en el iPhone
Noticias
Encontrada otra forma de “romper” el Wi-Fi en el iPhone
Leer más
Una vulnerabilidad permite el envío de correos electrónicos de phishing desde Uber.com
Noticias
Una vulnerabilidad permite el envío de correos electrónicos de phishing desde Uber.com
Leer más
Añade un comentario

© 2018–2023 – Un portal de información sobre como espiar un telefono

SOFTWARE DESTINADO ÚNICAMENTE A UN USO LEGAL. Es una violación de la ley aplicable y de las leyes de su jurisdicción local el instalar el Software Autorizado en un dispositivo que no es de su propiedad.