Symantec ha scoperto le prime applicazioni che sfruttano la vulnerabilità individuata nel sistema di verifica delle firme digitali su Android. Le app sono state distribuite attraverso uno store non ufficiale cinese e consentono ai malintenzionati di eseguire diverse operazioni in remoto, fino ad acquisire il controllo completo del dispositivo. Gli utenti che utilizzano esclusivamente il Google Play Store non corrono però nessun rischio, in quanto il negozio ufficiale integra uno scanner che rileva i malware e impedisce il download delle applicazioni infette.
Pochi giorni dopo la scoperta del bug, Google ha rilasciato una patch per il suo sistema operativo, ma la distribuzione dell’update da parte dei produttori procede a rilento. Ciò aumenta la probabilità di infezioni, nel caso in cui l’utente scarichi applicazioni da fonti esterne. La vulnerabilità, infatti, permette di iniettare codice infetto in app legittime, senza invalidare la firma digitale. Tramite il sistema Norton Mobile Insight, Symantec ha individuato due app usate per chiedere un appuntamento medico, contenenti il trojan Android.Skullkey.
Il cybercriminale ha modificato le app aggiungendo un codice che permette di prendere il controllo del dispositivo, rubare dati sensibili, come IMEI e numero di telefono, inviare SMS a pagamento e disabilitare i software di sicurezza, mediante comandi root. Il funzionamento dell’exploit è semplice: dato che Android installa l’ultima versione dell’app, basta nascondere due file con lo stesso nome all’interno dell’APK. Il controllo della validità della firma viene invece effettuato solo per la prima istanza di ogni file con nome duplicato.
Considerato l’elevato numero di smartphone Android in circolazione, prima o poi simili exploit arriveranno anche in Italia, quindi è meglio evitare store di terze parti e affidarsi esclusivamente al Google Play Store. Per verificare se il proprio dispositivo è a rischio, si può installare il tool Bluebox Security Scanner. Con Android 4.3 Jelly Bean, rilasciato ieri, la vulnerabilità Master Key è stata risolta.