This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Certificados legítimos para Android usados para firmar malware

  • 0 Replies
  • 296 Views

0 Members and 1 Guest are viewing this topic.

Offline AXCESS

  • *
  • Moderador Global
  • Posts: 2246
  • Actividad:
    100%
  • Country: 00
  • Reputación 26
    • View Profile
    • Email
You are not allowed to view links. Register or Login

Todas las apps de Android están firmadas por un certificado. Pero esto no garantiza su identidad, sino su integridad. En la práctica implica que son certificados autofirmados por el propio creador de la app.

De modo que una vez se firma una aplicación, esto garantiza su integridad y todas las actualizaciones posteriores deben ser firmadas con el mismo certificado. De lo contrario, virtualmente se estaría creando otra app igual en su código, pero diferente a efectos del sistema operativo.

¿Y qué pasa si se firman dos aplicaciones diferentes con un mismo certificado?

Que pueden comunicarse entre ellas y funcionar como si compartiesen espacio de memoria.

Las aplicaciones de sistema también están firmadas. Estas corren con un ID de usuario muy privilegiado (android.uid.system) que tiene acceso a casi todo el sistema sin mayor problema. Son apps que no necesariamente interactúan con el usuario y que normalmente carga el fabricante del teléfono para gestionarlo y darle el sabor o interfaz del sistema Android propio y personalizado de cada marca.

¿Qué ha pasado?

Lo que ha pasado es que Google ha anunciado que ha encontrado malware firmado con certificados legítimos. Y esto tiene dos consecuencias muy graves:

•   Este malware puede actuar con los mayores privilegios. Puede declarar que quiere ejecutarse con el mismo user ID que otra app firmada con su mismo certificado, puesto que se da por hecho que el autor es el mismo. El malware disfruta así en Android de muchísimos privilegios que no tiene habitualmente el malware habitual en este sistema operativo.

•   Los certificados robados pertenecen a apps de Samsung, LG, Revoview y Mediatek. Esto significa que se los han usurpado de alguna forma. La teoría más plausible ahora mismo es que hayan robado la clave privada, puesto que es poco probable que la hayan deducido de alguna manera.

El malware parece que no ha estado disponible en Google Play. Google ha anunciado simplemente los hashes de los malware. Hay algo extraño que queda por aclarar. Las apps maliciosas son de al menos 2016, cuando se enviaron a VirusTotal. En concreto se trata de este certificado:

You are not allowed to view links. Register or Login

Pero al descargarse y analizar su certificado, se comprueba que pertenecen a esos fabricantes de móviles Android.

Más Info y detalles (en español): **

Fuente
:

**BlogThinkBig
You are not allowed to view links. Register or Login

Vía:
BleepingComputer
You are not allowed to view links. Register or Login

Hacking Land (resumen y traducción al español)
You are not allowed to view links. Register or Login
« Last Edit: December 03, 2022, 04:06:46 am by AXCESS »
You are not allowed to view links. Register or Login