Троянци, експлоатиращи недостатък на основния ключ за android, открити в природата

Две приложения, разпространявани на китайските пазари, използват уязвимостта на "главния ключ" на Android, установиха изследователи на Symantec.

Уязвимостта на "главния ключ", оповестена по-рано този месец, позволява на нападателите да променят съществуващите приложения, като вмъкват злонамерен файл с точно същото име като съществуващ в пакета с приложения. Когато Android отвори пакета, той валидира цифровия подпис на първия файл и не валидира втория, защото смята, че вече е потвърдил този файл. Най-голямото притеснение беше, че нападателите могат да използват недостатъка, за да създадат злонамерени приложения, които могат да се маскират като законни приложения и дистанционно да поемат контрола върху потребителските устройства.

Symantec намери две приложения, разпространени на пазара на приложения в Китай, които използват експлоатацията. Приложенията се използват за намиране и уговаряне на срещи с лекар, според публикацията в сряда в блога Symantec Security Response.

"Очакваме атакуващите да продължат да използват тази уязвимост, за да заразят нищо неподозиращи потребителски устройства", се казва в публикацията в блога.

Програмистът на приложението използва уязвимостта, за да добави зловреден софтуер, наречен Android.Skullkey. Този троянец краде данни от компрометирани телефони, следи текстове, получени и написани на слушалката, а също така изпраща SMS съобщения до премиум номера. Троянецът може също да деактивира мобилни софтуерни приложения за сигурност, инсталирани на тези устройства.

Google сканира ли за тези приложения?

Отчетът на Symantec идва няколко дни след като BitDefender намери две приложения в Google Play, които също използваха дублиращи се имена на файлове, но не по зловреден начин. Играта за сватбена торта на Rose и остров Пирате Маджонг съдържат два дублирани файла с изображения (PNG), които са част от интерфейса на играта.

„Приложенията не изпълняват злонамерен код - те просто излагат грешката на Android, за да презапишат файл с изображения в пакета, най-вероятно по грешка“, написа Богдан Ботезату, старши анализатор на заплахите в Bitdefender, последно в блога Hot for Security седмица.

"Няма причина APK да има два файла с идентични имена в един и същи път", каза Botezatu пред SecurityWatch .

И двете приложения бяха актуализирани наскоро и е "особено интересно", че приложенията не повдигнаха червени знамена при сканиране от Google Play, каза Botezatu. Не забравяйте, че Google беше казал, че е направил промени в Google Play, за да блокира приложения, използващи тази уязвимост. Въпросът изглежда е точно когато Google актуализира скенера на пазарния си пазар, тъй като играта на сватбената торта беше последно актуализирана през юни. Или просто може Google да разпознае, че дублиращите се имена на изображения не са злонамерени, тъй като няма изпълним код и да пуснат приложенията.

Стойте извън неофициални пазари

Както сме съветвали в миналото, придържайте се към Google Play и не изтегляйте приложения от източници на трети страни, като неофициални пазари, форуми и уебсайтове. Придържайте се към „реномирани пазари на приложения за Android“, където приложенията са проверени и сканирани, преди да бъдат изброени.

Google вече пусна кръпка на производителите, но зависи от доставчиците и операторите кога актуализацията ще бъде изпратена до всички собственици на мобилни телефони.

Ако използвате CyanogenMod или други дистрибуции на Android, които вече са кръпкали грешката, вие сте защитени от тези видове приложения. Ако се опитате да инсталирате приложения, които са променени по този начин, ще видите съобщението „Пакетният файл не е подписан правилно“.