CIBERDELINCUENTES USAN CERTIFICADOS VÁLIDOS PARA DISTRIBUIR MALWARE

09/12/2022

BOLETÍN NRO 2022-709

Recientemente, se ha descubierto que los certificados de plataforma utilizados por los proveedores de smartphones como Android, Samsung, LG y MediaTek, han sido utilizados para firmar aplicaciones maliciosas.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Un certificado de plataforma es empleado para firmar la aplicación 'android' en la imagen del sistema, según un informe presentado a través de la Iniciativa AVPI.

"La aplicación 'android' se ejecuta con un id de usuario altamente privilegiado 'android.uid.system' y se tiene permisos del sistema, incluyendo permisos para acceder a los datos del usuario".

Esto significa que una aplicación maliciosa firmada con el mismo certificado puede obtener el nivel más alto de privilegios en el sistema operativo Android, lo que le permite recoger todo tipo de información sensible de un dispositivo comprometido.

La lista de paquetes de aplicaciones Android maliciosas que han hecho uso de los certificados es la siguiente:

• com.russian.signato.renewis.

• com.sledsdffsjkh.Search.

• com.android.power.

• com.management.propaganda.

• com.sec.android.musicplayer.

• com.houla.quicken.

• com.attd.da.

• com.arlo.fappx.

• com.metasploit.stage.

• com.vantage.ectronic.cornmuni

Aún no está claro cómo y dónde se encontraron estos artefactos, y si fueron utilizados como parte de alguna campaña activa de malware.

Google, por su parte, informó a todos los proveedores afectados para que cambiaran sus certificados, además indico que no hay pruebas de que estas aplicaciones se hayan distribuido a través de Play Store.

Indicadores de Compromiso

HASH

MD5: 6be42dbce4f1daf43901eee39dab9522

SHA-256: e4e28de8ad3f826fe50a456217d11e9e6a80563b35871ac37845357628b95f6a

MD5: 29626ae8fe47f3af4a2e83f6e7c7222f

SHA-256: 5c173df9e86e959c2eadcc3ef9897c8e1438b7a154c7c692d0fe054837530458

MD5: 22a5faf79e298418885182123f59c5b6

SHA-256: b1f191b1ee463679c7c2fa7db5a224b6759c5474b73a59be3e133a6825b2a284

MD5: e72db9dcfb902490eccf745ea2b691dc

SHA-256: 19c84a2386abde0c0dae8661b394e53bf246f6f0f9a12d84cfc7864e4a809697

MD5: c38e750abcac2691f691a0fa28223e0d

SHA-256: 0251bececeffbf4bf90eaaad27c147bb023388817d9fbec1054fac1324c6f8bf

MD5: 944eab1c2ed4fb4bcd101f121a5260af

SHA-256: c612917d68803efbd2f0e960ade1662be9751096afe0fd81cee283c5a35e7618

MD5: 4ef24b7ad3f8a6d802810f89b6ab4825

SHA-256: 6792324c1095458d6b78e92d5ae003a317fe3991d187447020d680e99d9b6129

MD5: 6aa1f705ee743ccbcc2fcd58d657a2bc

SHA-256: 091733658c7a32f4673415b11733ae729b87e2a2540c87d08ba9adf7bc62d7ed

MD5: 4ab8b5aba08cb2eb09e8d2db53a68229

SHA-256: 5aaefc5b4fb1e1973832f44ba2d82a70106d3e8999680df6deed3570cd30fb97

MD5: ef0deaadbe5abafc8c88e216882429d8

SHA-256: 32b9a33ad3d5a063cd4f08e0739a6ce1e11130532fd0b7e13a3a37edaf9893eb

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Hackers Sign Android Malware Apps with Compromised Platform Certificates
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​