Троянці, що експлуатують недолік головного ключа Android, виявлені в дикій природі

Двоє додатків, що поширюються на китайських ринках, використовують вразливість "головного ключа" Android, виявили дослідники Symantec.

Уразливість "головного ключа", оприлюднена на початку цього місяця, дозволяє зловмисникам змінювати наявні додатки, вставляючи шкідливий файл із таким же ім'ям, що і існуючий в пакет програм. Коли Android відкриває файл пакету, він перевіряє цифровий підпис першого файлу, а другий не перевіряє, оскільки вважає, що вже підтвердив цей файл. Найбільша стурбованість полягала в тому, що зловмисники можуть використовувати недолік для створення шкідливих додатків, які можуть маскуватися як законні програми та віддалено брати під контроль пристрої користувачів.

Symantec знайшов два додатки, розповсюджені на ринку додатків у Китаї, які використовували експлуати. Програми використовуються для пошуку та призначення зустрічей з лікарем, повідомляється у блозі Symantec Security Response.

"Ми очікуємо, що зловмисники продовжуватимуть використовувати цю вразливість, щоб заразити користувачів, які не підозрюють користувачів", - йдеться у публікації блогу.

Розробник додатків використовував уразливість, щоб додати зловмисне програмне забезпечення під назвою Android.Skullkey. Цей троянин викрадає дані з компрометованих телефонів, відстежує тексти, отримані та написані на слухавці, а також надсилає SMS-повідомлення на преміальні номери. Троянець також може відключити мобільні програми програмного забезпечення для захисту, встановлені на цих пристроях.

Чи сканує Google ці програми?

Звіт Symantec надходить через кілька днів після того, як BitDefender знайшов у Google Play два додатки, які також використовували дублікати файлових файлів, але не зловмисно. Гра «Весільний торт» та «Піратський острів Маджонг» містять два копії файлів зображень (PNG), які є частиною інтерфейсу гри.

"Програми не мають шкідливого коду. Вони просто піддають помилку Android, щоб перезаписати файл зображення в пакет, швидше за все, помилково", - написав Богдан Ботезату, старший аналітик електронних загроз Bitdefender, останній в блозі "Гаряча безпека" тиждень.

"Немає жодних причин у APK два файли з однаковими іменами на одному шляху", - сказав Ботезату для SecurityWatch .

Обидва додатки нещодавно оновлено, і "особливо цікаво" те, що вони не піднімали жодних червоних прапорів під час сканування Google Play, сказав Ботезату. Пам'ятайте, Google заявив, що вніс зміни в Google Play, щоб заблокувати додатки, що використовують цю вразливість. Тепер питання, як видається, саме тоді, коли компанія Google оновила сканер своєї торгової площадки, оскільки гра весільного торта востаннє оновлювалася в червні. Або може бути лише те, що Google визнав, що копії імен файлів зображень не є шкідливими, оскільки не існує виконуваного коду і пропускати програми через нього.

Тримайтеся поза неофіційними торговими площами

Як ми радили раніше, дотримуйтесь Google Play і не завантажуйте програми з сторонніх джерел, таких як неофіційні ринки, форуми та веб-сайти. Дотримуйтесь "поважних майданчиків додатків для Android", де додатки перевіряються та скануються перед тим, як вони перелічені.

Google вже випустив виправлення для виробників, але це залежить від постачальників і операторів, коли оновлення буде надіслано всім власникам телефонів.

Якщо ви використовуєте CyanogenMod або інші дистрибутиви Android, які вже виправили помилку, ви захищені від цих типів програм. Якщо ви спробуєте встановити додатки, які були змінені таким чином, ви побачите повідомлення "Файл пакета неправильно підписаний".