Els troians que exploten una falla clau d'android es troben en estat salvatge

Van investigar Symantec dues aplicacions distribuïdes als mercats xinesos que exploten la vulnerabilitat "clau principal" d'Android.

La vulnerabilitat "clau principal", publicada a principis d'aquest mes, permet als atacants modificar aplicacions existents inserint un fitxer maliciós amb el mateix nom exacte que un existent al paquet d'aplicacions. Quan Android obre el fitxer de paquets, valida la signatura digital del primer fitxer i no valida el segon perquè creu que ja ha validat aquest fitxer. La preocupació més gran era que els atacants puguin explotar el defecte per crear aplicacions maliciosos que es poden amagar com a aplicacions legítimes i controlar de forma remota els dispositius d’usuari.

Symantec va trobar dues aplicacions distribuïdes en un mercat d’aplicacions a la Xina que utilitzaven la explotació. Les aplicacions s’utilitzen per cercar i fer cites amb un metge, segons ha publicat un dimecres al bloc Symantec Security Response.

"Esperem que els atacants continuïn aprofitant aquesta vulnerabilitat per infectar dispositius d'usuaris insospitats", diu la publicació al bloc.

El desenvolupador d'aplicacions va explotar la vulnerabilitat per afegir programari maliciós anomenat Android.Skullkey. Aquest troià roba dades de telèfons compromesos, controla els textos rebuts i escrits al telèfon, i també envia missatges SMS a números premium. El troià també pot desactivar les aplicacions de programari de seguretat mòbil instal·lades en aquests dispositius.

Google està escanejant aquestes aplicacions?

L’informe de Symantec arriba uns dies després que BitDefender va trobar dues aplicacions a Google Play que també utilitzaven noms de fitxers duplicats, però no d’una manera maliciosa. Cake Rose Wedding Cake i Pirates Island Mahjong contenen dos fitxers d'imatges duplicats (PNG) que formen part de la interfície del joc.

"Les aplicacions no funcionen amb codi maliciós; només exposen l'error d'Android per sobreescriure un fitxer d'imatge al paquet, molt probablement per error", va escriure Bogdan Botezatu, analista principal de amenaces electròniques de Bitdefender, el blog Hot for Security. setmana.

"No hi ha cap raó perquè un APK tingui dos fitxers amb noms idèntics en el mateix camí", va dir Botezatu a SecurityWatch .

Ambdues aplicacions s'han actualitzat recentment i és "particularment interessant" que les aplicacions no puguin cap bandera vermella quan les escanejaven per Google Play, va dir Botezatu. Recordeu que Google havia dit que havia fet canvis a Google Play per bloquejar les aplicacions que explotaven aquesta vulnerabilitat. Ara la pregunta sembla ser quan Google va actualitzar l'escàner del seu mercat, ja que el joc del pastís de casaments es va actualitzar per última vegada el juny. O simplement podria ser que Google reconegués que els noms de fitxers duplicats de la imatge no són maliciosos, ja que no hi ha cap codi executable i permetre que les aplicacions s’hi facin passar.

Manteniu-vos fora dels mercats no oficials

Tal com ja us hem indicat en el passat, enganxeu-vos a Google Play i no descarregueu aplicacions de fonts de tercers com ara mercats no oficials, fòrums i llocs web. S'adhereix amb "mercats de referència amb aplicacions d'Android" on es verifiquen i escanegen les aplicacions abans de la seva llista.

Google ja ha publicat un pedaç als fabricants, però correspon als venedors i operadors quan s’enviarà l’actualització a tots els propietaris d’aparells.

Si utilitzeu CyanogenMod o altres distribucions d'Android que ja hagin parchejat l'error, esteu protegit d'aquest tipus d'aplicacions. Si intenteu instal·lar aplicacions que s'han modificat d'aquesta manera, veureu el missatge "El fitxer del paquet no s'ha signat correctament".