Certificados de Samsung, LG e outras foram usados para verificar vírus

Os certificados de segurança usados por grandes fabricantes de smartphones e componentes também foram utilizados para assinar, pelo menos, 10 malwares para Android. Os validadores servem para garantir a autenticidade de softwares oficiais e recursos do sistema operacional, o que inclui acesso a permissões restritas, com o uso indevido colocando os usuários em alto risco.

• Como fazer uma checagem de segurança no Android
• Como saber se um link é seguro sem precisar clicar nele

Quatro empresas tiveram seus certificados utilizados de forma irregular: Samsung, LG, MediaTek e Revoview. Entretanto, o total de validadores que levantaram o sinal de alerta é maior, com as companhias responsáveis por eles não podendo ser identificadas; da mesma forma, não se sabe ao certo o que levou ao comprometimento destes elementos, que podem ter sido obtidos a partir de vazamentos, invasões a sistemas internos ou até ação de funcionários mal intencionados.

Seja como for, os seguintes pacotes, relacionados a aplicativos maliciosos, foram localizados como perigosos e utilizando os certificados ilegítimos:

• com.russian.signato.renewis
• com.sledsdffsjkh.Search
• com.android.power
• com.management.propaganda
• com.sec.android.musicplayer
• com.houla.quicken
• com.attd.da
• com.arlo.fappx
• com.metasploit.stage
• com.vantage.ectronic.cornmuni

De acordo com o relatório da Iniciativa de Parceiros contra Vulnerabilidades no Android (AVPI, na sigla em inglês), o uso de tais certificados pelos aplicativos poderia garantir a eles acesso privilegiado aos dados do smartphone, bem como a recursos bloqueados como a interceptação e realização de ligações, coleta de informações e o download ou desinstalação de outros apps. Basicamente, o validador dá ao software o mesmo nível de controle do próprio dono do aparelho, senão mais, permitindo a realização de ataques altamente direcionados e devastadores.

Enquanto campanhas específicas não foram indicadas, os certificados estavam presentes em softwares que continham trojans, exibiam anúncios indevidos, roubavam dados ou entregavam vírus. Entretanto, de acordo com o Google, cujo pesquisador Lukasz Siewierski, do time de segurança do Android, foi responsável pela descoberta, não existem indícios de que os aplicativos maliciosos estiveram presentes na Play Store, o que acaba reduzindo o escopo do ataque.

O relatório foi divulgado apenas agora, depois que as fabricantes foram notificadas, para que os certificados pudessem ser renovados, com as versões usadas maliciosamente não mais tendo validade. Enquanto isso, o Google aponta que recomendou a todas as empresas atingidas uma investigação imediata sobre as causas do incidente, assim como uma redução no número de apps e recursos assinados de forma a conter esse tipo de mal-uso.

Os usuários finais também estão protegidos contra novas explorações, mesmo que tenham baixado os apps maliciosos para seus smartphones. Como os certificados que garantiriam golpes não funcionam mais, eles ficam impossibilitados de funcionar, com a recomendação de sempre quanto ao download de softwares apenas de fontes oficiais acompanhando o alerta, como forma de minimizar riscos futuros.

Fonte: APVI, Bleeping Computer