Специалисты по безопасности компании Bluebox обнаружили ошибку в ОС Android, которая существует ещё с версии 1.6 Donut и которой подвержены 99% устройств на основе Android. Используя её, злоумышленники могут маскировать трояны под верифицированные приложения и прятать вредоносное ПО в чужих программах.
Обычно приложения верифицируются по криптографическим подписям и, таким образом, модифицированные обновления будут отвергнуты, если ключ не будет совпадать с ключом разработчика. Однако в Bluebox говорят, что им удалось найти способ модификации способ изменения файла APK без нарушения подписи. Это позволяет установить вредоносный код, если злоумышленник сможет выслать пользователю модифицированную программу.
С помощью магазина Google Play это сделать не удастся, однако жертву можно запросто заманить для установки программы в сторонний магазин приложений или просто прислать ему ссылку по почте на вредоносный пакет. Наверно, особенно стоит беспокоиться пользователям старых версий Android — ведь для них не будет обновлений.