Huis Securitywatch Trojaanse paarden die misbruik maken van de android hoofdsleutelfout in het wild

Trojaanse paarden die misbruik maken van de android hoofdsleutelfout in het wild

Video: Creo Customization: Model layers visibility is different as a Drawing (December 2024)

Video: Creo Customization: Model layers visibility is different as a Drawing (December 2024)
Anonim

Twee apps die op Chinese markten worden gedistribueerd, maken gebruik van de 'master key'-kwetsbaarheid van Android, vonden onderzoekers van Symantec.

Door de kwetsbaarheid van de "hoofdsleutel", eerder deze maand gepubliceerd, kunnen aanvallers bestaande apps wijzigen door een schadelijk bestand met exact dezelfde naam als een bestaand in het toepassingspakket in te voegen. Wanneer Android het pakketbestand opent, valideert het de digitale handtekening van het eerste bestand en valideert het tweede bestand niet, omdat het denkt dat het dat bestand al heeft gevalideerd. De grootste zorg was dat aanvallers de fout konden misbruiken om kwaadaardige apps te maken die zich kunnen voordoen als legitieme apps en op afstand controle kunnen krijgen over gebruikersapparaten.

Symantec vond twee apps gedistribueerd in een app-marktplaats in China die gebruik maakten van de exploit. De apps worden gebruikt om een ​​arts te vinden en afspraken te maken, volgens een woensdagbericht op het Symantec Security Response-blog.

"We verwachten dat aanvallers dit beveiligingslek blijven benutten om nietsvermoedende gebruikersapparaten te infecteren, " zei de blogpost.

De app-ontwikkelaar heeft het beveiligingslek misbruikt om malware toe te voegen die Android.Skullkey wordt genoemd. Deze Trojan steelt gegevens van gecompromitteerde telefoons, monitort ontvangen en geschreven teksten op de handset en stuurt ook sms-berichten naar premium nummers. De Trojan kan ook mobiele beveiligingssoftwaretoepassingen uitschakelen die op deze apparaten zijn geïnstalleerd.

Scant Google naar deze apps?

Het rapport van Symantec komt een paar dagen nadat BitDefender twee apps op Google Play heeft gevonden die ook dubbele bestandsnamen gebruikten, maar niet op een kwaadaardige manier. Rose Wedding Cake Game en Pirates Island Mahjong bevatten twee dubbele afbeeldingsbestanden (PNG) die deel uitmaken van de interface van de game.

"De applicaties voeren geen kwaadaardige code uit - ze stellen alleen de Android-bug bloot om een ​​afbeeldingsbestand in het pakket te overschrijven, hoogstwaarschijnlijk per ongeluk, " schreef Bogdan Botezatu, senior e-dreigingsanalist bij Bitdefender, laatst op de Hot for Security-blog week.

"Er is geen reden voor een APK om twee bestanden met identieke namen in hetzelfde pad te hebben, " vertelde Botezatu aan SecurityWatch .

Beide apps zijn onlangs bijgewerkt en het is "bijzonder interessant" dat de apps geen rode vlaggen hebben gegenereerd toen ze werden gescand door Google Play, zei Botezatu. Vergeet niet dat Google had gezegd dat het wijzigingen had aangebracht in Google Play om apps te blokkeren die misbruik maken van dit beveiligingslek. Nu lijkt de vraag precies te zijn wanneer Google de scanner van zijn markt heeft bijgewerkt, omdat het bruidstaartspel voor het laatst in juni is bijgewerkt. Of het kan gewoon zijn dat Google herkende dat dubbele afbeeldingsbestandsnamen niet schadelijk zijn omdat er geen uitvoerbare code is en de apps doorlaten.

Blijf uit onofficiële marktplaatsen

Zoals we in het verleden hebben geadviseerd, blijf dan bij Google Play en download geen apps van externe bronnen zoals onofficiële marktplaatsen, forums en websites. Blijf bij "gerenommeerde Android-applicatie-marktplaatsen" waar apps worden geverifieerd en gescand voordat ze worden vermeld.

Google heeft al een patch uitgebracht voor fabrikanten, maar het is aan de leveranciers en vervoerders om te bepalen wanneer de update naar alle handset-eigenaren zal worden verzonden.

Als u CyanogenMod of andere Android-distributies gebruikt die de bug al hebben hersteld, bent u beschermd tegen dit soort apps. Als u apps probeert te installeren die op deze manier zijn aangepast, ziet u het bericht "Pakketbestand is niet correct ondertekend."

Trojaanse paarden die misbruik maken van de android hoofdsleutelfout in het wild