Nhóm bảo mật Android của Google đã báo cáo rằng đối tượng tấn công đã ký các ứng dụng độc hại bằng cách sử dụng một số chứng chỉ nền tảng Android bị xâm phạm.
Chứng chỉ (platform certificates) sử dụng bởi các hãng điện thoại Android như Samsung, LG và Media Tek đã bị khai thác để cài cắm ứng dụng độc hại.
Chứng chỉ nền tảng là khóa kỹ thuật số, được các nhà sản xuất thiết bị gốc (OEM) tin cậy và sở hữu. Chúng được sử dụng để ký các ứng dụng cốt lõi của họ. Do đó, những kẻ tấn công lạm dụng chúng để ký các ứng dụng độc hại nhằm lấy quyền truy cập root dưới dạng ứng dụng hợp pháp.
Ứng dụng Android chạy với “ID người dùng có đặc quyền cao” có tên là android.uid.system. Nó nắm giữ nhiều quyền hệ thống, chẳng hạn như quyền truy cập dữ liệu người dùng.
Nếu một ứng dụng độc hại được ký bằng cùng một chứng chỉ để đạt được mức đặc quyền cao nhất như hệ điều hành Android, nó có khả năng trích xuất tất cả các loại dữ liệu nhạy cảm từ thiết bị bị xâm nhập.
Danh sách các gói ứng dụng Android độc hại:
com.russian.signato.renewis
com.sledsdffsjkh
com.android.power
com.manager.propagandacom.sec.android.musicplayer
com.houla.quicken
com.attd.da
com.arlo.fappx
com.metasploit.stagecom.vantage.ectronic.cornmuni
Google đã triển khai tính năng phát hiện rộng rãi phần mềm độc hại trong Build Test Suite, quét hình ảnh hệ thống. Google Play Protect cũng có khả năng phát hiện phần mềm độc hại.
Google thông báo rằng chưa phát hiện dấu hiệu nào về ứng dụng độc hại này tồn tại trên Google Play Store, tuy nhiên người dùng cần đảm bảo rằng thiết bị của mình được cập nhật lên phiên bản Android mới nhất.
Lifehub tổng hợp
Nguồn bài viết