Хакеры заполучили сертификаты Samsung и LG и используют их для подписи вредоносных приложений

Специалисты по информационной безопасности, работающие в рамках инициативы Google Android Partner Vulnerability Initiative (APVI), обнаружили случаи использования настоящих сертификатов для подписи вредоносных приложений для устройств на базе Android.

Сертификаты (также известны как ключи) используется для проверки оригинальности версии Android и того, что она была создана непосредственно производителем, а не кем-то со стороны. Но они же могут использоваться и для подписи отдельных приложений, чтобы система автоматически считала такие программы безопасными и надёжными. Следовательно, злоумышленник может предоставить вредоносной программе все разрешения на системном уровне, получив полный доступ к данным на устройстве.

Это неправомерное использование ключей платформы было обнаружено реверс-инженером Google по безопасности Android Лукашем Северски. Северски обнаружил несколько образцов вредоносных программ, подписанных с использованием 10 сертификатов и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью. На данный момент неизвестно, кто злоупотребил этими сертификатами и каким образом распространялись образцы вредоносного ПО.

Согласно имеющимся данным, некоторые из сертификатов принадлежат Samsung, LG и MediaTek. На данный момент нет информации относительно того, как сертификаты для подписи системных приложений попали в руки злоумышленников.