- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 18ч 30м
- Сделки
- 251
- Нарушения
- 0 / 0
OEM-производители устройств Android используют сертификаты или ключи для подписи основных образов ПЗУ Anfroid устройств и связанных приложений. Если вредоносное приложение подписано тем же сертификатом, что и легитимное, и ему присвоен идентификатор пользователя с высокими привилегиями, это приложение также получит доступ на уровне системы к Android устройству.
Такие привилегии предоставляют доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям, сюда входит:
- управление текущими вызовами;
- установка или удаление пакетов;
- сбор информации об устройстве и др.
Северски обнаружил несколько образцов вредоносных программ, подписанных с использованием 10 сертификатов и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью. На данный момент неизвестно, кто злоупотребил этими сертификатами и каким образом распространялись образцы вредоносного ПО.
Поиск этих хэшей в VirusTotal показал, что некоторые из сертификатов принадлежат Samsung Electronics, LG Electronics, Revoview и Mediatek. Вредоносное ПО, подписанное с помощью сертификатов компаний, включает:
- троян HiddenAds – отображает рекламу на экране блокировки, которая занимает весь экран устройства;
- инфостилер – похищает конфиденциальную информацию о пользователе и его учетные данные;
- Metasploit – инструмент для пентеста, который можно использовать для разработки и распространения эксплойтов;
- дроппер – приложения, которые содержат в себе дополнительные полезные нагрузки для заражения устройства.
