Задна вратичка Keenadu
Сложна задна вратичка за Android, известна като Keenadu, е идентифицирана, вградена дълбоко във фърмуера на устройството, позволявайки тихо събиране на данни и дистанционно управление на заразените системи. Изследователи по сигурността откриха заплахата във фърмуер, свързан с множество доставчици, включително Alldocube, с доказателства, показващи, че компрометирането е станало по време на фазата на изграждане на фърмуера. Keenadu присъства във фърмуера за Alldocube iPlay 50 mini Pro поне от 18 август 2023 г.
Във всеки потвърден случай злонамереният код се е намирал в изображения на фърмуера на таблети, които са съдържали валидни цифрови подписи, което е увеличило вероятността от компрометиране на веригата за доставки. Някои заразени фърмуерни пакети са били разпространявани чрез актуализации по въздух (OTA). След като бъде инсталиран, задната вратичка се инжектира в паметта на всяко приложение при стартиране, действайки като многоетапен зареждащ механизъм, който предоставя на атакуващите неограничен дистанционен контрол над устройството.
Телеметрията показва, че 13 715 потребители по целия свят са се сблъсквали с Keenadu или свързаните с него модули. Най-висока концентрация на инфекции е наблюдавана в Русия, Япония, Германия, Бразилия и Холандия.
Съдържание
Дълбока системна манипулация: Експлоатиране на основните процеси на Android
Keenadu беше публично разкрит в края на декември 2025 г. и беше описан като задна вратичка, имплантирана в libandroid_runtime.so, критична споделена библиотека, заредена по време на процеса на зареждане на Android. След като се активира, зловредният софтуер се инжектира в процеса Zygote, поведение, наблюдавано преди това в зловредния софтуер за Android Triada.
Зловредната рутина се задейства чрез функция, вмъкната в libandroid_runtime.so. Първо се проверява дали се изпълнява в системни приложения, свързани с услуги на Google или мобилни оператори като Sprint и T-Mobile; ако е така, изпълнението се спира. Вграден авариен ключ също така прекратява зловредния софтуер, когато в системните директории бъдат открити специфични имена на файлове.
След това задната вратичка проверява дали работи в рамките на привилегирования процес system_server, който управлява основната функционалност на системата и се стартира от Zygote по време на зареждане. В зависимост от средата, зловредният софтуер инициализира един от два компонента:
- AKServer, който съдържа основната логика за командване и управление (C2) и механизма за изпълнение
- AKClient, който се инжектира във всяко стартирано приложение и действа като комуникационен мост към AKServer
Тази архитектура позволява на атакуващите да персонализират злонамерени приложения за специфични приложения. Сървърният компонент може да предоставя или отменя разрешения за приложения, да извлича данни за геолокация и да извлича информация за устройството. Допълнителни предпазни мерки гарантират, че злонамереният софтуер ще бъде прекратен, ако езикът на устройството е зададен на китайски в китайска часова зона или ако Google Play Store или Google Play Services отсъстват.
След като отговаря на оперативните критерии, Keenadu декриптира своя C2 адрес и предава криптирани метаданни на устройството. Сървърът отговаря с криптирана JSON конфигурация, в която се посочват наличните полезни товари. За да избегне откриването и да усложни анализа, задната вратичка забавя доставката на полезния товар с приблизително два месеца и половина след първоначалната регистрация на устройството. Атакуващите разчитат на Alibaba Cloud като своя инфраструктура за доставяне на съдържание.
Злонамерени модули: Монетизация, отвличане на данни и рекламни измами
Keenadu функционира като модулна платформа за зловреден софтуер, способна да внедрява различни специализирани компоненти. Идентифицираните модули включват следното:
- Keenadu Loader, насочен към популярни платформи за електронна търговия като Amazon, Shein и Temu, потенциално позволяващ неоторизирано манипулиране на количките.
- Clicker Loader е инжектиран в приложения като YouTube, Facebook, Google Digital Wellbeing и системния стартер на Android, за да взаимодейства измамно с рекламни елементи.
- Модул на Google Chrome, насочен към Google Chrome, за да отвлича заявки за търсене и да ги пренасочва към алтернативни търсачки, въпреки че автоматичното довършване понякога може да попречи на опита за отвличане.
- Nova Clicker, вграден в инструмента за избор на тапет на системата и използващ машинно обучение и WebRTC за взаимодействие с рекламно съдържание. Този компонент е бил анализиран преди това под кодовото име Phantom от Doctor Web.
- Инсталирайте модул за монетизация, вграден в системния стартер, за генериране на измамни приходи от реклама чрез погрешно приписване на инсталации на приложения.
- Модул на Google Play, който извлича рекламния идентификатор на Google Ads и го съхранява под ключа „S_GA_ID3“ за проследяване между модулите и идентифициране на жертвите.
Въпреки че настоящият оперативен фокус е съсредоточен върху рекламните измами, гъвкавостта на рамката представлява значителен потенциал за кражба на идентификационни данни и разширени злонамерени операции в бъдеще.
Разширяване на каналите за дистрибуция и екосистемните връзки
Освен имплантирането на ниво фърмуер, са наблюдавани и допълнителни вектори на разпространение. Зареждащият софтуер Keenadu е вграден в основни системни приложения, като например услуги за разпознаване на лица и лаунчери. Подобни тактики са били свързани преди това с Dwphon, който е бил насочен към механизмите за OTA актуализации.
Друг наблюдаван метод включва работа в системи, които вече са компрометирани от отделна предварително инсталирана задна врата, наподобяваща BADBOX. Установени са и припокривания на инфраструктурата между Triada и BADBOX, което предполага сътрудничество в ботнет мрежа. През март 2025 г. се появиха допълнителни връзки между BADBOX и Vo1d, които бяха насочени към устройства с Android TV извън марката.
Keenadu се разпространява и чрез троянски приложения за интелигентни камери, публикувани в Google Play от Hangzhou Denghong Technology Co., Ltd. Засегнатите приложения включват:
- Eoolii (com.taismart.global) – над 100 000 изтегляния
- Ziicam (com.ziicam.aws) – над 100 000 изтегляния
- Eyeplus – Вашият дом във вашите очи (com.closeli.eyeplus) – над 100 000 изтегляния
Тези приложения оттогава са премахнати от Google Play. Еквивалентни версии са публикувани и в Apple App Store; вариантите за iOS обаче не съдържат злонамерен код, което подкрепя заключението, че Keenadu е специално проектиран да атакува таблети с Android.
Последици за сигурността: Заплаха за основния модел на доверие на Android
Keenadu представлява сериозна заплаха поради интеграцията си в libandroid_runtime.so, което му позволява да работи в контекста на всяко приложение. Това ефективно подкопава sandbox модела на Android и осигурява скрит достъп до всички данни на устройството.
Способността му да заобикаля стандартните контроли за разрешения превръща зловредния софтуер в пълноценна задна врата с неограничени права на системно ниво. Сложността на имплементацията демонстрира напреднала експертиза в архитектурата на Android, управлението на жизнения цикъл на приложенията и основните механизми за сигурност.
Keenadu се откроява като мащабна и изключително сложна платформа за зловреден софтуер, способна да осигури постоянен и адаптивен контрол върху компрометирани устройства. Въпреки че в момента се използва предимно за рекламни измами, архитектурната ѝ дълбочина предполага реален риск от ескалация към кражба на идентификационни данни и по-широки киберпрестъпни операции.
