L’affaire est prise très au sérieux par Google. En effet, Łukasz Siewierski, un expert en rétro ingénierie chez Google a trouvé des échantillons de malware comprenant des certificats Android officiels. Ces clés sont celles affectées aux partenaires OEM comme Samsung, LG et Mediatek. Elles sont utilisées pour signer les malwares et déployer différentes charges utiles. En signant avec un certificat compromis, les pirates obtiennent un haut niveau de privilège sur la plateforme Android et donc au terminal de l’utilisateur.
Dans sa découverte, le spécialiste précise qu’ « un certificat plateforme est une clé de signature pour valider l’application Android sur l’image système. L’application s’exécute avec un identifiant utilisateur hautement privilégié-android.uid.system et détient les autorisations du système, y compris celles d’accès aux données de l’utilisateur ». Et d'ajouter : « Toute autre application signée avec le même certificat peut déclarer qu'elle veut s'exécuter avec le même identifiant utilisateur, ce qui lui donne le même niveau d'accès au système d'exploitation Android ».
10 échantillons de malwares recensés
Dans son alerte, la firme liste 10 échantillons de malwares et des hachages SHA256 correspondants. Dans le détail, il s’agit de voleur d’information (info stealer), de backdoors, de trojans, etc. Un vrai pot-pourri de menaces.
Google recommande aux fournisseurs cités précédemment de changer les certificats plateformes. « Les partenaires OEM ont rapidement mis en œuvre des mesures d’atténuations dès que nous avons signalé la compromission de la clé », assure un porte-parole du groupe interrogé par The Register. Par ailleurs, la firme américaine milite pour « minimiser le nombre d’applications signées avec un certificat plateforme, pour réduire le coût du changement de clé si un incident similaire se reproduit ». Pour les utilisateurs, les conseils de Google restent de ne pas télécharger d’application en dehors du Play Store et de mettre à jour la version d’Android.