Attenzione, app Android con certificati rubati possono modificare la configurazione del dispositivo

Vi abbiamo raccontato di quanto siano importanti i permessi Android e di come non ci si debba mai limitare a prendere per buono quanto dichiarato dai singoli sviluppatori nelle schede pubblicate sul Play Store di Google.
Di recente abbiamo dato conto anche di un’app, ospitata sul Play Store, che crea profili falsi e supera l’autenticazione a due fattori.

Questa volta un reverse engineer di Google, Łukasz Siewierski, ha scoperto che i criminali informatici stanno utilizzando i certificati di piattaforma o platform key per eseguire codice arbitrario con i diritti più ampi possibile.

I produttori di dispositivi Android usano i certificati di piattaforma per firmare digitalmente le immagini contenenti il sistema operativo e le varie applicazioni preinstallate (si chiamano ROM).
Le app Android firmate con i medesimi certificati di piattaforma e dotate del privilegio android.uid.system possono acquisire gli stessi diritti di accesso a livello sistema dei quali godono appunto le routine di installazione delle ROM.
Facendo leva su privilegi così ampi, le app Android possono arrivare a gestire le chiamate in arrivo, installare o rimuovere pacchetti, raccogliere informazioni sul dispositivo e compiere qualunque tipo di modifica sulla configurazione del device.

Come spiegato in questo report pubblico, diverse app malevole stanno utilizzando certificati di piattaforma (che sembrano appartenere a diverse aziende, tra cui Samsung, MediaTek e LG) per installare sui dispositivi delle vittime componenti come trojan, information stealer, dropper per il caricamento di varie famiglie di malware, lo strumento di “penetration testing” MetaSploit.

Google ha già informato privatamente tutte le aziende i cui certificati sono stati sfruttati per firmare le applicazioni malevole suggerendo i passaggi da compiere per proteggere le loro attività e quelle degli utenti finali.

Non è dato sapere in che modo i certificati di piattaforma siano stati rubati: certo è che gli aggressori hanno potuto beneficiare della coppia di chiavi privata e pubblica (ne parliamo nell’articolo sulle differenze tra crittografia simmetrica e asimmetrica) di aziende dal nome spesso altisonante per firmare i loro software. Non solo. Da una semplice ricerca con strumenti come APKMirror, servizio diventato ancor più utile con Windows 11, è possibile verificare che i certificati rubati sono stati sfruttati dai legittimi proprietari per firmare alcune tra le più note app Android.