Keenadu Backdoor

ডিভাইস ফার্মওয়্যারের ভেতরেই কিনাডু নামে পরিচিত একটি অত্যাধুনিক অ্যান্ড্রয়েড ব্যাকডোর এমবেড করা আছে বলে জানা গেছে, যা নীরব ডেটা সংগ্রহ এবং সংক্রামিত সিস্টেমের রিমোট কন্ট্রোল সক্ষম করে। নিরাপত্তা গবেষকরা অলডোকিউব সহ একাধিক বিক্রেতার সাথে যুক্ত ফার্মওয়্যারে হুমকি আবিষ্কার করেছেন, যার প্রমাণ রয়েছে যে ফার্মওয়্যার তৈরির সময় আপসটি ঘটেছিল। কমপক্ষে ১৮ আগস্ট, ২০২৩ সাল থেকে অলডোকিউব আইপ্লে ৫০ মিনি প্রো-এর ফার্মওয়্যারে কিনাডু উপস্থিত রয়েছে।

প্রতিটি নিশ্চিত ক্ষেত্রে, ক্ষতিকারক কোডটি ট্যাবলেট ফার্মওয়্যারের ছবিগুলির মধ্যে ছিল যা বৈধ ডিজিটাল স্বাক্ষর বহন করে, যা সরবরাহ শৃঙ্খলে ঝুঁকির সম্ভাবনাকে আরও জোরদার করে। কিছু সংক্রামিত ফার্মওয়্যার প্যাকেজ ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে বিতরণ করা হয়েছিল। একবার ইনস্টল করার পরে, ব্যাকডোরটি লঞ্চের সময় প্রতিটি অ্যাপ্লিকেশনের মেমরি স্পেসে নিজেকে ইনজেক্ট করে, একটি মাল্টি-স্টেজ লোডার হিসাবে কাজ করে যা আক্রমণকারীদের ডিভাইসের উপর অবাধ রিমোট কন্ট্রোল প্রদান করে।

টেলিমেট্রি ইঙ্গিত দেয় যে বিশ্বব্যাপী ১৩,৭১৫ জন ব্যবহারকারী কিনাডু বা এর সাথে সম্পর্কিত মডিউলগুলির মুখোমুখি হয়েছেন। রাশিয়া, জাপান, জার্মানি, ব্রাজিল এবং নেদারল্যান্ডসে সংক্রমণের সর্বোচ্চ ঘনত্ব লক্ষ্য করা গেছে।

গভীর সিস্টেম ম্যানিপুলেশন: মূল অ্যান্ড্রয়েড প্রক্রিয়াগুলিকে কাজে লাগানো

২০২৫ সালের ডিসেম্বরের শেষের দিকে কিনাডু প্রকাশ্যে প্রকাশিত হয় এবং libandroid_runtime.so-এর মধ্যে একটি ব্যাকডোর ইমপ্লান্ট করা হিসাবে বর্ণনা করা হয়, যা অ্যান্ড্রয়েড বুট প্রক্রিয়ার সময় লোড করা একটি গুরুত্বপূর্ণ শেয়ার্ড লাইব্রেরি। একবার সক্রিয় হয়ে গেলে, ম্যালওয়্যারটি জাইগোট প্রক্রিয়ায় নিজেকে প্রবেশ করায়, যা আগে অ্যান্ড্রয়েড ম্যালওয়্যার ট্রায়াডা-তে দেখা গিয়েছিল।

libandroid_runtime.so-তে ঢোকানো একটি ফাংশনের মাধ্যমে ক্ষতিকারক রুটিনটি ট্রিগার করা হয়। এটি প্রথমে যাচাই করে যে এটি Google পরিষেবাগুলির সাথে সম্পর্কিত সিস্টেম অ্যাপ্লিকেশনগুলির মধ্যে বা Sprint এবং T-Mobile-এর মতো মোবাইল ক্যারিয়ারগুলির মধ্যে কার্যকর হচ্ছে কিনা; যদি তাই হয়, তাহলে কার্যকরকরণ বন্ধ করা হয়। সিস্টেম ডিরেক্টরিগুলিতে নির্দিষ্ট ফাইলের নাম সনাক্ত করা হলে একটি অন্তর্নির্মিত কিল সুইচ ম্যালওয়্যারটি বন্ধ করে দেয়।

এরপর ব্যাকডোরটি পরীক্ষা করে যে এটি বিশেষাধিকারপ্রাপ্ত system_server প্রক্রিয়ার মধ্যে কাজ করছে কিনা, যা মূল সিস্টেমের কার্যকারিতা নিয়ন্ত্রণ করে এবং বুট করার সময় জাইগোট দ্বারা চালু হয়। পরিবেশের উপর নির্ভর করে, ম্যালওয়্যার দুটি উপাদানের মধ্যে একটিকে আরম্ভ করে:

• AKServer, যার মধ্যে রয়েছে কোর কমান্ড-এন্ড-কন্ট্রোল (C2) লজিক এবং এক্সিকিউশন ইঞ্জিন
• AKClient, যা প্রতিটি চালু হওয়া অ্যাপ্লিকেশনে প্রবেশ করানো হয় এবং AKServer-এর সাথে যোগাযোগের সেতু হিসেবে কাজ করে

এই স্থাপত্য আক্রমণকারীদের নির্দিষ্ট অ্যাপ্লিকেশনের জন্য ক্ষতিকারক পেলোড তৈরি করতে দেয়। সার্ভার উপাদানটি অ্যাপের অনুমতি প্রদান বা প্রত্যাহার করতে পারে, ভূ-অবস্থান ডেটা পুনরুদ্ধার করতে পারে এবং ডিভাইসের তথ্য অপসারণ করতে পারে। অতিরিক্ত সুরক্ষা ব্যবস্থা নিশ্চিত করে যে যদি ডিভাইসের ভাষা একটি চীনা সময় অঞ্চলের মধ্যে চীনা ভাষায় সেট করা থাকে, অথবা যদি Google Play Store বা Google Play পরিষেবা অনুপস্থিত থাকে তবে ম্যালওয়্যারটি বন্ধ হয়ে যায়।

অপারেশনাল মানদণ্ড পূরণ করার পর, কিনাডু তার C2 ঠিকানা ডিক্রিপ্ট করে এবং এনক্রিপ্ট করা ডিভাইস মেটাডেটা প্রেরণ করে। সার্ভারটি একটি এনক্রিপ্ট করা JSON কনফিগারেশনের মাধ্যমে প্রতিক্রিয়া জানায় যেখানে উপলব্ধ পেলোডগুলি বিশদভাবে বর্ণনা করা হয়। সনাক্তকরণ এড়াতে এবং বিশ্লেষণকে জটিল করার জন্য, প্রাথমিক ডিভাইস চেক-ইন করার পরে ব্যাকডোর পেলোড ডেলিভারি প্রায় আড়াই মাস বিলম্বিত করে। আক্রমণকারীরা তাদের কন্টেন্ট ডেলিভারি অবকাঠামো হিসাবে আলিবাবা ক্লাউডের উপর নির্ভর করে।

ক্ষতিকারক মডিউল: নগদীকরণ, হাইজ্যাকিং এবং বিজ্ঞাপন জালিয়াতি

কিনাডু একটি মডুলার ম্যালওয়্যার প্ল্যাটফর্ম হিসেবে কাজ করে যা বিভিন্ন বিশেষায়িত উপাদান স্থাপন করতে সক্ষম। চিহ্নিত মডিউলগুলির মধ্যে রয়েছে:

• কিনাডু লোডার অ্যামাজন, শাইন এবং টেমুর মতো জনপ্রিয় ই-কমার্স প্ল্যাটফর্মগুলিকে লক্ষ্য করে, সম্ভাব্যভাবে অননুমোদিত কার্ট কারসাজিকে সক্ষম করে।
• ক্লিকার লোডার ইউটিউব, ফেসবুক, গুগল ডিজিটাল ওয়েলবিং এবং অ্যান্ড্রয়েড সিস্টেম লঞ্চারের মতো অ্যাপ্লিকেশনগুলিতে বিজ্ঞাপনের উপাদানগুলির সাথে প্রতারণামূলকভাবে যোগাযোগ করার জন্য ইনজেক্ট করা হয়েছে।
• গুগল ক্রোম মডিউল গুগল ক্রোমকে লক্ষ্য করে সার্চ কোয়েরি হাইজ্যাক করে বিকল্প সার্চ ইঞ্জিনে পুনঃনির্দেশিত করে, যদিও স্বয়ংসম্পূর্ণ নির্বাচন কখনও কখনও হাইজ্যাকিংয়ের প্রচেষ্টা ব্যাহত করতে পারে।
• নোভা ক্লিকার, সিস্টেম ওয়ালপেপার পিকারের মধ্যে এমবেড করা এবং বিজ্ঞাপনের বিষয়বস্তুর সাথে জড়িত থাকার জন্য মেশিন লার্নিং এবং ওয়েবআরটিসি ব্যবহার করে। এই উপাদানটি পূর্বে ডক্টর ওয়েব দ্বারা ফ্যান্টম কোডনামের অধীনে বিশ্লেষণ করা হয়েছিল।
• অ্যাপ্লিকেশন ইনস্টলগুলিকে ভুলভাবে চিহ্নিত করে জালিয়াতিপূর্ণ বিজ্ঞাপনের রাজস্ব তৈরি করতে সিস্টেম লঞ্চারে এমবেড করা মনিটাইজেশন মডিউল ইনস্টল করুন।
• গুগল প্লে মডিউল, যা গুগল বিজ্ঞাপন বিজ্ঞাপন আইডি পুনরুদ্ধার করে এবং ক্রস-মডিউল ট্র্যাকিং এবং ভিকটিম সনাক্তকরণের জন্য 'S_GA_ID3' কী-এর অধীনে সংরক্ষণ করে।

বর্তমান কার্যক্ষমতার মূল কেন্দ্রবিন্দু বিজ্ঞাপন জালিয়াতির উপর, কাঠামোর নমনীয়তা ভবিষ্যতে শংসাপত্র চুরি এবং দূষিত কার্যক্রমের বিস্তৃত সম্ভাবনা উপস্থাপন করে।

বিতরণ চ্যানেল এবং ইকোসিস্টেম লিঙ্ক সম্প্রসারণ

ফার্মওয়্যার-স্তরের ইমপ্লান্টেশনের বাইরেও অতিরিক্ত বিতরণ ভেক্টর লক্ষ্য করা গেছে। কিনাডু লোডারটি মুখের স্বীকৃতি পরিষেবা এবং লঞ্চারের মতো মূল সিস্টেম অ্যাপ্লিকেশনের মধ্যে এমবেড করা হয়েছে। একই ধরণের কৌশল পূর্বে Dwphon-এর সাথে যুক্ত ছিল, যা OTA আপডেট প্রক্রিয়াগুলিকে লক্ষ্য করে।

আরেকটি পর্যবেক্ষণ পদ্ধতিতে BADBOX-এর মতো একটি পৃথক প্রি-ইনস্টল করা ব্যাকডোর দ্বারা ইতিমধ্যেই ক্ষতিগ্রস্ত সিস্টেমগুলির মধ্যে কাজ করা অন্তর্ভুক্ত। Triada এবং BADBOX-এর মধ্যে অবকাঠামোগত ওভারল্যাপও সনাক্ত করা হয়েছে, যা বটনেট সহযোগিতার ইঙ্গিত দেয়। ২০২৫ সালের মার্চ মাসে, BADBOX এবং Vo1d-এর মধ্যে আরও সংযোগ আবির্ভূত হয়, যা অফ-ব্র্যান্ড অ্যান্ড্রয়েড টিভি ডিভাইসগুলিকে লক্ষ্য করে তৈরি করেছিল।

হ্যাংজু ডেংহং টেকনোলজি কোং লিমিটেড কর্তৃক গুগল প্লেতে প্রকাশিত ট্রোজানাইজড স্মার্ট ক্যামেরা অ্যাপ্লিকেশনের মাধ্যমেও কিনাডু বিতরণ করা হয়েছে। প্রভাবিত অ্যাপ্লিকেশনগুলির মধ্যে রয়েছে:

• Eoolii (com.taismart.global) – ১০০,০০০ এরও বেশি ডাউনলোড
• Ziicam (com.ziicam.aws) – ১০০,০০০ এরও বেশি ডাউনলোড
• আইপ্লাস – আপনার চোখে আপনার বাড়ি (com.closeli.eyeplus) – ১০০,০০০ এরও বেশি ডাউনলোড

এই অ্যাপ্লিকেশনগুলি তখন থেকে গুগল প্লে থেকে সরিয়ে ফেলা হয়েছে। সমতুল্য সংস্করণগুলি অ্যাপল অ্যাপ স্টোরেও প্রকাশিত হয়েছিল; তবে, iOS ভেরিয়েন্টগুলিতে কোনও ক্ষতিকারক কোড ছিল না, যা এই সিদ্ধান্তকে আরও জোরদার করে যে Keenadu বিশেষভাবে অ্যান্ড্রয়েড ট্যাবলেটগুলিকে লক্ষ্য করে তৈরি করা হয়েছে।

নিরাপত্তার প্রভাব: অ্যান্ড্রয়েডের মূল বিশ্বাস মডেলের জন্য হুমকি

libandroid_runtime.so-এর মধ্যে ইন্টিগ্রেশনের কারণে Keenadu একটি গুরুতর হুমকির প্রতিনিধিত্ব করে, যা এটিকে প্রতিটি অ্যাপ্লিকেশনের প্রেক্ষাপটে কাজ করার অনুমতি দেয়। এটি কার্যকরভাবে অ্যান্ড্রয়েডের স্যান্ডবক্সিং মডেলকে দুর্বল করে এবং সমস্ত ডিভাইস ডেটাতে গোপন অ্যাক্সেস প্রদান করে।

স্ট্যান্ডার্ড অনুমতি নিয়ন্ত্রণগুলিকে বাইপাস করার ক্ষমতা ম্যালওয়্যারটিকে অবাধ সিস্টেম-স্তরের কর্তৃত্ব সহ একটি পূর্ণাঙ্গ ব্যাকডোরে রূপান্তরিত করে। বাস্তবায়নের পরিশীলিততা অ্যান্ড্রয়েড আর্কিটেকচার, অ্যাপ্লিকেশন জীবনচক্র ব্যবস্থাপনা এবং মূল সুরক্ষা ব্যবস্থায় উন্নত দক্ষতা প্রদর্শন করে।

কিনাডু একটি বৃহৎ এবং অত্যন্ত জটিল ম্যালওয়্যার প্ল্যাটফর্ম হিসেবে আলাদা, যা ক্ষতিগ্রস্ত ডিভাইসের উপর স্থায়ী এবং অভিযোজিত নিয়ন্ত্রণ প্রদান করতে সক্ষম। যদিও বর্তমানে এটি মূলত বিজ্ঞাপন জালিয়াতির জন্য ব্যবহৃত হয়, এর স্থাপত্যের গভীরতা প্রমাণপত্র চুরি এবং বৃহত্তর সাইবার অপরাধমূলক ক্রিয়াকলাপের দিকে বৃদ্ধির একটি বিশ্বাসযোগ্য ঝুঁকি নির্দেশ করে।