Porta del darrere de Keenadu

S'ha identificat una sofisticada porta del darrere d'Android coneguda com a Keenadu integrada en el firmware del dispositiu, que permet la recopilació silenciosa de dades i el control remot dels sistemes infectats. Investigadors de seguretat van descobrir l'amenaça en el firmware vinculat a diversos proveïdors, inclòs Alldocube, amb proves que mostren que el compromís es va produir durant la fase de compilació del firmware. Keenadu ha estat present al firmware de l'Alldocube iPlay 50 mini Pro des d'almenys el 18 d'agost de 2023.

En tots els casos confirmats, el codi maliciós residia dins d'imatges de firmware de tauletes que portaven signatures digitals vàlides, cosa que reforçava la probabilitat que es comprometés la cadena de subministrament. Alguns paquets de firmware infectats es van distribuir mitjançant actualitzacions per aire (OTA). Un cop instal·lada, la porta del darrere s'injecta a l'espai de memòria de cada aplicació en el moment de l'inici, funcionant com un carregador multietapa que atorga als atacants control remot sense restriccions sobre el dispositiu.

La telemetria indica que 13.715 usuaris a tot el món han utilitzat Keenadu o els seus mòduls associats. La concentració més alta d'infeccions s'ha observat a Rússia, Japó, Alemanya, Brasil i els Països Baixos.

Manipulació profunda del sistema: explotació dels processos bàsics d’Android

Keenadu es va revelar públicament a finals de desembre de 2025 i es va descriure com una porta del darrere implantada dins de libandroid_runtime.so, una biblioteca compartida crítica carregada durant el procés d'arrencada d'Android. Un cop actiu, el programari maliciós s'injecta al procés Zygote, un comportament observat anteriorment al programari maliciós d'Android Triada.

La rutina maliciosa s'activa mitjançant una funció inserida a libandroid_runtime.so. Primer verifica si s'està executant dins d'aplicacions del sistema associades amb serveis de Google o operadors de telefonia mòbil com ara Sprint i T-Mobile; si és així, l'execució s'atura. Un interruptor de detenció integrat també finalitza el programari maliciós quan es detecten noms de fitxer específics als directoris del sistema.

La porta del darrere comprova si està operant dins del procés privilegiat system_server, que regeix la funcionalitat principal del sistema i és llançat per Zygote durant l'arrencada. Depenent de l'entorn, el programari maliciós inicialitza un dels dos components següents:

• AKServer, que conté la lògica principal de comandament i control (C2) i el motor d'execució
• AKClient, que s'injecta a cada aplicació iniciada i actua com a pont de comunicació amb AKServer

Aquesta arquitectura permet als atacants adaptar les càrregues útils malicioses a aplicacions específiques. El component del servidor pot concedir o revocar permisos d'aplicacions, recuperar dades de geolocalització i exfiltrar informació del dispositiu. Les mesures de seguretat addicionals garanteixen que el programari maliciós finalitzi si l'idioma del dispositiu està definit com a xinès dins d'una zona horària xinesa o si no hi ha Google Play Store o Google Play Services.

En complir els criteris operatius, Keenadu desxifra la seva adreça C2 i transmet les metadades xifrades del dispositiu. El servidor respon amb una configuració JSON xifrada que detalla les càrregues útils disponibles. Per evadir la detecció i complicar l'anàlisi, la porta del darrere retarda el lliurament de la càrrega útil durant aproximadament dos mesos i mig després del registre inicial del dispositiu. Els atacants confien en Alibaba Cloud com a infraestructura de lliurament de contingut.

Mòduls maliciosos: monetització, segrest i frau publicitari

Keenadu funciona com una plataforma modular de programari maliciós capaç de desplegar diversos components especialitzats. Els mòduls identificats inclouen els següents:

• Keenadu Loader té com a objectiu plataformes de comerç electrònic populars com Amazon, Shein i Temu, cosa que podria permetre la manipulació no autoritzada del carretó.
• Clicker Loader injectat en aplicacions com YouTube, Facebook, Google Digital Wellbeing i el llançador del sistema Android per interactuar fraudulentment amb elements publicitaris.
• Mòdul de Google Chrome que té com a objectiu segrestar consultes de cerca i redirigir-les a motors de cerca alternatius, tot i que les seleccions d'autocompleció de vegades poden interrompre l'intent de segrest.
• Nova Clicker, integrat dins del selector de fons de pantalla del sistema i que aprofita l'aprenentatge automàtic i el WebRTC per interactuar amb contingut publicitari. Aquest component va ser analitzat anteriorment amb el nom en clau Phantom per Doctor Web.
• Instal·leu el mòdul de monetització, integrat al llançador del sistema, per generar ingressos publicitaris fraudulents mitjançant l'atribució errònia de les instal·lacions d'aplicacions.
• Mòdul de Google Play, que recupera l'identificador de publicitat de Google Ads i l'emmagatzema amb la clau "S_GA_ID3" per al seguiment entre mòduls i la identificació de víctimes.

Tot i que l'enfocament operatiu actual se centra en el frau publicitari, la flexibilitat del marc de treball presenta un potencial significatiu per al robatori de credencials i l'ampliació d'operacions malicioses en el futur.

Ampliació dels canals de distribució i els vincles dels ecosistemes

Més enllà de la implantació a nivell de firmware, s'han observat vectors de distribució addicionals. El carregador Keenadu s'ha integrat dins d'aplicacions bàsiques del sistema, com ara serveis de reconeixement facial i llançadors. Anteriorment s'havien associat tàctiques similars amb Dwphon, que tenien com a objectiu els mecanismes d'actualització OTA.

Un altre mètode observat implica el funcionament dins de sistemes ja compromesos per una porta del darrere preinstal·lada separada que s'assembla a BADBOX. També s'han identificat solapaments d'infraestructures entre Triada i BADBOX, cosa que suggereix una col·laboració entre botnets. El març de 2025, van sorgir més connexions entre BADBOX i Vo1d, que tenien com a objectiu dispositius Android TV de marca diferent.

Keenadu també s'ha distribuït a través d'aplicacions de càmeres intel·ligents amb troians publicades a Google Play per Hangzhou Denghong Technology Co., Ltd. Les aplicacions afectades incloïen:

• Eoolii (com.taismart.global): més de 100.000 descàrregues
• Ziicam (com.ziicam.aws): més de 100.000 descàrregues
• Eyeplus – La teva llar als teus ulls (com.closeli.eyeplus) – més de 100.000 descàrregues

Des de llavors, aquestes aplicacions s'han eliminat de Google Play. També es van publicar versions equivalents a l'Apple App Store; tanmateix, les variants d'iOS no contenien codi maliciós, cosa que reforça la conclusió que Keenadu està dissenyat específicament per a tauletes Android.

Implicacions de seguretat: una amenaça al model de confiança bàsic d’Android

Keenadu representa una amenaça greu a causa de la seva integració amb libandroid_runtime.so, cosa que li permet operar dins del context de cada aplicació. Això soscava eficaçment el model de sandboxing d'Android i proporciona accés encobert a totes les dades del dispositiu.

La seva capacitat per eludir els controls de permisos estàndard transforma el programari maliciós en una porta del darrere completa amb autoritat il·limitada a nivell de sistema. La sofisticació de la implementació demostra una experiència avançada en l'arquitectura d'Android, la gestió del cicle de vida de les aplicacions i els mecanismes bàsics de seguretat.

Keenadu destaca com una plataforma de programari maliciós a gran escala i altament complexa capaç d'oferir un control persistent i adaptable sobre els dispositius compromesos. Tot i que actualment s'utilitza principalment per al frau publicitari, la seva profunditat arquitectònica suggereix un risc creïble d'escalada cap al robatori de credencials i operacions ciberdelinqüents més àmplies.