Vídeo: Story of the new Android banking Trojan-Cerberus at DefCamp 2019 (Outubro 2024)
Dois aplicativos distribuídos nos mercados chineses estão explorando a vulnerabilidade de "chave mestra" do Android, descobriram os pesquisadores da Symantec.
A vulnerabilidade de "chave mestra", divulgada no início deste mês, permite que os invasores modifiquem os aplicativos existentes, inserindo um arquivo mal-intencionado com o mesmo nome que o existente no pacote de aplicativos. Quando o Android abre o arquivo do pacote, ele valida a assinatura digital do primeiro arquivo e não o valida porque acredita que já validou esse arquivo. A maior preocupação era que os invasores pudessem explorar a falha para criar aplicativos maliciosos que podem se disfarçar de aplicativos legítimos e controlar remotamente os dispositivos dos usuários.
A Symantec encontrou dois aplicativos distribuídos em um mercado de aplicativos na China que estavam usando a exploração. Os aplicativos são usados para encontrar e marcar consultas com um médico, de acordo com uma publicação de quarta-feira no blog do Symantec Security Response.
"Esperamos que os invasores continuem aproveitando essa vulnerabilidade para infectar dispositivos de usuários desavisados", disse a publicação do blog.
O desenvolvedor do aplicativo explorou a vulnerabilidade para adicionar malware chamado Android.Skullkey. Esse cavalo de Troia rouba dados de telefones comprometidos, monitora os textos recebidos e escritos no aparelho e também envia mensagens SMS para números premium. O Trojan também pode desativar os aplicativos de software de segurança móvel instalados nesses dispositivos.
O Google está digitalizando para esses aplicativos?
O relatório da Symantec ocorre alguns dias depois que o BitDefender encontrou dois aplicativos no Google Play que também usavam nomes de arquivos duplicados, mas não de maneira maliciosa. Rose Wedding Cake Game e Pirates Island Mahjong contêm dois arquivos de imagem duplicados (PNG) que fazem parte da interface do jogo.
"Os aplicativos não estão executando código malicioso - estão apenas expondo o bug do Android para substituir um arquivo de imagem no pacote, provavelmente por engano", escreveu Bogdan Botezatu, analista de ameaças eletrônicas da Bitdefender, no blog Hot for Security da última vez. semana.
"Não há razão para um APK ter dois arquivos com nomes idênticos no mesmo caminho", disse Botezatu ao SecurityWatch .
Ambos os aplicativos foram atualizados recentemente e é "particularmente interessante" que os aplicativos não levantem bandeiras vermelhas ao serem verificados pelo Google Play, disse Botezatu. Lembre-se, o Google havia dito que havia feito alterações no Google Play para bloquear aplicativos que exploram essa vulnerabilidade. Agora, a questão parece ser exatamente quando o Google atualizou o scanner de seu mercado, desde que o jogo do bolo de casamento foi atualizado pela última vez em junho. Ou pode ser que o Google tenha reconhecido que nomes de arquivos de imagem duplicados não são maliciosos, pois não há código executável e permite que os aplicativos passem.
Fique fora dos mercados não oficiais
Como aconselhamos no passado, permaneça no Google Play e não baixe aplicativos de fontes de terceiros, como mercados, fóruns e sites não oficiais. Atenha-se aos "mercados de aplicativos respeitáveis para Android", onde os aplicativos são verificados e verificados antes de serem listados.
O Google já lançou um patch para os fabricantes, mas cabe aos fornecedores e operadoras o momento em que a atualização será enviada a todos os proprietários de celulares.
Se você usa o CyanogenMod ou outras distribuições Android que já corrigiram o bug, você está protegido contra esses tipos de aplicativos. Se você tentar instalar aplicativos que foram modificados dessa maneira, verá a mensagem "O arquivo do pacote não foi assinado corretamente".
