Onderzoekers van Google vonden kwaadaardige Android-apps met legitieme certificaten van original equipment manufacturers (OEM’s). De certificaten geven de malware systeembevoegdheden.

OEM’s van Android-apparaten gebruiken platformcertificaten om besturingssystemen en apps op devices te ondertekenen.

Sommige platformcertificaten geven apps systeembevoegdheden. OEM’s horen platformcertificaten achter slot en grendel op te slaan, want in de verkeerde handen maken de certificaten het mogelijk om malware te ondertekenen.

Ondertekende malware heeft toegang tot gevoelige processen zoals het toevoegen of verwijderen van packets, het ophalen van systeeminformatie en andere handelingen die meestal zijn afgeschermd voor applicaties.

Malware met systeembevoegdheden

Łukasz Siewierski, een reverse engineer van het Google Android Security-team, ontdekte dat platformcertificaten in de praktijk worden misbruikt door meerdere kwaadaardige apps. Dat onthulde Siewierski in een verklaring op de issue tracker van het Android Partner Vulnerability Initiative (AVPI).

“Een platformcertificaat is het certificaat dat wordt gebruikt om het Android-besturingssysteem op system images te ondertekenen”, aldus de engineer. “Ondertekende besturingssystemen draaien met een bevoorrecht gebruikers-id, ‘android.uid.system’. De software heeft systeembevoegdheden, waaronder de mogelijkheid om toegang te krijgen tot gebruikersgegevens.”

Meerdere samples, tien certificaten

Siewierski ontdekte meerdere malwaresamples met ondertekeningen van tien verschillende Android-platformcertificaten.

Het is niet bekend hoe de certificaten in de handen van malware-ontwikkelaars zijn beland. De certificaten zijn mogelijk door cybercriminelen gestolen of door insiders van OEM’s verstrekt.

Daarnaast is het onduidelijk of en hoe de betreffende malware wordt verspreid.

Tip: Zscaler vindt malware in Play Store apps met 300.000+ downloads