Hackers obtiveram os certificados de validação de diversas marcas de hardware, o que poderia trazer sérios problemas de segurança cibernéticos.

O especialista em segurança do Google, Lukasz Siewierski, e sua equipe fizeram a descoberta. Esses validadores de segurança são utilizados para assinar os aplicativos no Android das fabricantes de celulares e componentes para provar sua autenticidade, diferenciando-os de malwares.

Os certificados da LG, MediaTek, Samsung e Revoview foram utilizados de forma irregular por hackers. Porém, o número total dos validadores de segurança é bem maior e não foi identificado quais outras empresas tiveram o dispositivo de segurança comprometido.

Outro elemento que levanta dúvida é como os hackers obtiveram os certificados de segurança. A aposta é que foram roubados por vazamentos, invasões nos sistemas internos das empresas ou com a colaboração de funcionários desonestos.

New APVI entry: platform certificates used to sign malware

Found by yours truly :)https://t.co/qiFMJW111A

— Łukasz (@maldr0id@infosec.exchange) (@maldr0id) November 30, 2022

Segundo as informações de Lukasz Siewierski, os seguintes pacotes foram identificados em aplicativos maliciosos utilizando os certificados ilegalmente:

• com.russian.signato.renewis
• com.sledsdffsjkh.Search
• com.android.power
• com.management.propaganda
• com.sec.android.musicplayer
• com.houla.quicken
• com.attd.da
• com.arlo.fappx
• com.metasploit.stage
• com.vantage.ectronic.cornmuni

O relatório da iniciativa de Parceiros contra Vulnerabilidades no Android (AVPI, no original) revela que os certificados podem ser utilizados nos malwares para disfarçá-los de aplicativos oficiais e permitir que eles obtenham acesso aos dados da vítima, coletando informações, interceptando e realizando ligações, além de instalar e desinstalar aplicativos remotamente.

O mais preocupante é que o hacker conseguiria ter o mesmo nível de controle do dono do dispositivo, o que poderia levar a ataques específicos e danosos.

Felizmente, a equipe liderada por Lukasz diz que não detectou a presença de malwares utilizando esses certificados na Play Store, diminuindo a ação dos criminosos. O relatório foi apenas publicado agora, após as empresas terem sido notificadas sobre o vazamento e pudessem renovar os validadores de segurança.

Nas recomendações, o Google incentiva que as companhias investiguem como os certificados foram vazados e diminuam o número de aplicativos assinados por eles para diminuir esse tipo de incidente.

Caso o usuário tenha baixado algum dos aplicativos que utilizam os certificados ilegalmente, o Google garante que não sofrerão novos ataques, já que os validadores não irão mais funcionar. A companhia também recomenda baixar softwares apenas de fontes oficiais, o que evitaria esse tipo de incidente.