Авторы вредоносов подписывали их с помощью сертификатов для Android

Екатерина Быстрова 02 Декабря 2022 - 09:33

...

Авторы вредоносов подписывали их с помощью сертификатов для Android

Киберпреступники подписывали вредоносные программы с помощью сертификатов, используемых производителями мобильных устройств на Android для подписи системных приложений. Таким вредоносам удавалось получить высокие права в ОС.

Как правило, производители девайсов на Android используют специальные сертификаты для подписи ROM-образов, в которых содержатся операционная система Android и связанные приложения.

Если подписать с помощью этих же сертификатов вредоносную программу, она получит идентификатор “android.uid.system“ и наиболее высокие права в системе.

Само собой, такой вредонос сможет добраться до важной информации, а также будет иметь возможность перехватывать звонки, устанавливать или удалять пакеты и осуществлять ряд других действий, недоступных обычному софту.

На площадке Android Partner Vulnerability Initiative (AVPI) появился отчёт, согласно которому специалист команды Google Android Security Лукаш Сьюуэрски обнаружил неправомерное использование легитимных сертификатов.

Сьюуэрски также выявил несколько образцов вредоносов, подписанных с помощью десяти соответствующих сертификатов, и предоставил SHA256-хеши для каждого семпла:

com.russian.signato.renewis
com.sledsdffsjkh.Search
com.android.power
com.management.propaganda
com.sec.android.musicplayer
com.houla.quicken
com.attd.da
com.arlo.fappx
com.metasploit.stage
com.vantage.ectronic.cornmuni

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 17 Октября 2025 - 17:34

Эксплойты Уязвимости программ Корпорации F5 Networks

В интернете найдены 269 000 устройств F5 с незакрытыми уязвимостями

После обнародования атаки на F5 эксперты начали сканировать Сеть в поисках хостов, уязвимых к взлому. В Shadowserver Foundation такие проверки проводятся автоматом и ежедневно; результаты оказались плачевными: под ударом около 269 тыс. устройств.

Напомним, авторам атаки удалось проникнуть в сеть F5 и выкрасть исходники продуктов линейки BIG-IP, а также данные о новых опасных уязвимостях.

Обнаружив утечку, вендор в срочном порядке выпустил патчи и усилил защиту своей инфраструктуры. Судя по данным Shadowserver, реакция его многочисленных клиентов оказалась менее быстрой.

Согласно статистике, опубликованной активистами в X и на своем сайте, половина доступных из интернета и потенциально уязвимых устройств F5 (отслеживаются по IP) находятся в США:

Публично доступный интерфейс управления критически важными сетевыми устройствами — настоящий подарок для злоумышленников. Эксплойт позволяет закрепиться в целевой сети, развить атаку и украсть конфиденциальные данные.

Пользователям продуктов F5 и админам рекомендуется обновить BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ и клиенты APM в кратчайшие сроки.