OEM-Hersteller von Android-Geräten verwenden Plattform-Zertifikate oder Plattform-Schlüssel, um die ROM-Images der Geräte zu signieren, die das Android-Betriebssystem und die zugehörigen Apps enthalten. Wenn Apps, auch bösartige, mit demselben Plattform-Zertifikat signiert werden und ihnen die hochprivilegierte Benutzerkennung "android.uid.system" zugewiesen wird, erhalten diese Apps auch Zugriff auf das Android-Gerät auf Systemebene. Diese Privilegien ermöglichen den Zugriff auf sensible Berechtigungen, die Apps normalerweise nicht gewährt werden, wie z. B. die Verwaltung laufender Anrufe, die Installation oder Löschung von Paketen, das Sammeln von Informationen über das Gerät und andere hochsensible Aktionen.

Wie aus einem Bericht auf dem Android Partner Vulnerability Initiative (AVPI) Issue Tracker hervorgeht, hatte Google nun diese missbräuchliche Verwendung von Plattformschlüsseln entdeckt. Lukasz Siewierski, Reverse Engineer im Android Security Team von Google, fand mehrere Malware-Samples, die mit Android-Plattform-Zertifikaten von OEMs signiert waren, und stellte die SHA256-Hashes für jedes der Samples und die digital signierten Zertifikate zur Verfügung.

