Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Zadní vrátka Keenadu

Zadní vrátka Keenadu

V roce Mezo v roce Mobilní malware, Zadní vrátka
Přeložit do:

Hluboko ve firmwaru zařízení byl identifikován sofistikovaný backdoor pro Android známý jako Keenadu, který umožňuje tichý sběr dat a vzdálené ovládání infikovaných systémů. Bezpečnostní výzkumníci odhalili hrozbu ve firmwaru propojeném s více dodavateli, včetně Alldocube, s důkazy, které ukazují, že k narušení bezpečnosti došlo během fáze sestavení firmwaru. Keenadu je přítomen ve firmwaru pro Alldocube iPlay 50 mini Pro nejméně od 18. srpna 2023.

V každém potvrzeném případě se škodlivý kód nacházel v obrazech firmwaru tabletu, které nesly platné digitální podpisy, což zvyšovalo pravděpodobnost kompromitace dodavatelského řetězce. Některé infikované balíčky firmwaru byly distribuovány prostřednictvím bezdrátových (OTA) aktualizací. Po instalaci se backdoor při spuštění vloží do paměťového prostoru každé aplikace a funguje jako vícestupňový zavaděč, který útočníkům poskytuje neomezenou vzdálenou kontrolu nad zařízením.

Telemetrie ukazuje, že se s Keenadu nebo s ním spojenými moduly setkalo 13 715 uživatelů po celém světě. Nejvyšší koncentrace infekcí byla zaznamenána v Rusku, Japonsku, Německu, Brazílii a Nizozemsku.

Hluboká manipulace se systémem: Využití klíčových procesů Androidu

Malware Keenadu byl veřejně odhalen koncem prosince 2025 a popsán jako zadní vrátka implantovaná do knihovny libandroid_runtime.so, což je kritická sdílená knihovna načítaná během spouštění systému Android. Jakmile je malware aktivní, vloží se do procesu Zygote, což je chování, které bylo dříve pozorováno u malwaru Triada pro Android.

Škodlivá rutina se spouští pomocí funkce vložené do souboru libandroid_runtime.so. Nejprve se ověří, zda se spouští uvnitř systémových aplikací spojených se službami Google nebo mobilními operátory, jako jsou Sprint a T-Mobile; pokud ano, provádění se zastaví. Vestavěný kill switch také ukončí malware, když jsou v systémových adresářích detekovány konkrétní názvy souborů.

Backdoor poté zkontroluje, zda je spuštěn v rámci privilegovaného procesu system_server, který řídí základní funkčnost systému a je spouštěn systémem Zygote během bootování. V závislosti na prostředí malware inicializuje jednu ze dvou komponent:

  • AKServer, který obsahuje základní logiku a prováděcí engine pro příkazy a řízení (C2).
  • AKClient, který je vkládán do každé spuštěné aplikace a funguje jako komunikační most k AKServeru

Tato architektura umožňuje útočníkům přizpůsobit škodlivé datové zátěže konkrétním aplikacím. Serverová komponenta může udělovat nebo odebírat oprávnění aplikacím, načítat geolokační data a získávat informace o zařízení. Další ochranná opatření zajišťují, že se malware ukončí, pokud je jazyk zařízení nastaven na čínštinu v čínském časovém pásmu nebo pokud chybí Obchod Google Play nebo Služby Google Play.

Po splnění provozních kritérií Keenadu dešifruje svou C2 adresu a odešle šifrovaná metadata zařízení. Server odpoví šifrovanou konfigurací JSON s podrobnostmi o dostupných datových úložištích. Aby se backdoor vyhnul odhalení a zkomplikoval analýzu, zpožďuje doručení datových úložišť přibližně o dva a půl měsíce po počáteční registraci zařízení. Útočníci se jako svou infrastrukturu pro doručování obsahu spoléhají na Alibaba Cloud.

Škodlivé moduly: Monetizace, únosy a reklamní podvody

Keenadu funguje jako modulární platforma pro malware schopná nasazovat různé specializované komponenty. Mezi identifikované moduly patří následující:

  • Keenadu Loader cílí na populární e-commerce platformy, jako jsou Amazon, Shein a Temu, a potenciálně umožňuje neoprávněnou manipulaci s nákupním košíkem.
  • Clicker Loader byl vložen do aplikací, jako jsou YouTube, Facebook, Google Digital Wellbeing a spouštěč systému Android, aby podvodně interagoval s reklamními prvky.
  • Modul Google Chrome zaměřený na Google Chrome, který má za cíl unést vyhledávací dotazy a přesměrovat je na alternativní vyhledávače, ačkoli automatické doplňování může někdy pokus o únos narušit.
  • Nova Clicker, integrovaný do výběru tapet systému, využívající strojové učení a WebRTC k interakci s reklamním obsahem. Tato komponenta byla dříve analyzována společností Doctor Web pod kódovým označením Phantom.
  • Nainstalujte modul monetizace, integrovaný do spouštěče systému, který generuje podvodné příjmy z reklamy nesprávným přiřazením instalací aplikací.
  • Modul Google Play, který načítá reklamní ID Google Ads a ukládá ho pod klíčem „S_GA_ID3“ pro sledování napříč moduly a identifikaci obětí.

Zatímco se současné operační zaměření soustředí na reklamní podvody, flexibilita tohoto rámce představuje v budoucnu značný potenciál pro krádež přihlašovacích údajů a rozšíření škodlivých operací.

Rozšiřování distribučních kanálů a propojení ekosystémů

Kromě implantace na úrovni firmwaru byly pozorovány i další distribuční vektory. Zavaděč Keenadu byl integrován do základních systémových aplikací, jako jsou služby rozpoznávání obličeje a launchery. Podobné taktiky byly dříve spojovány s Dwphonem, který cílil na mechanismy OTA aktualizací.

Další pozorovaná metoda zahrnuje provoz v systémech, které již byly napadeny samostatným předinstalovaným backdoorem připomínajícím BADBOX. Mezi Triada a BADBOX byly také zjištěny překryvy infrastruktury, což naznačuje spolupráci botnetu. V březnu 2025 se objevila další propojení mezi BADBOX a Vo1d, která cílila na zařízení Android TV jiných značek.

Malware Keenadu byl také distribuován prostřednictvím aplikací pro chytré kamery napadených trojskými kony, které na Google Play publikovala společnost Hangzhou Denghong Technology Co., Ltd. Mezi postižené aplikace patřily:

  • Eoolii (com.taismart.global) – přes 100 000 stažení
  • Ziicam (com.ziicam.aws) – přes 100 000 stažení
  • Eyeplus – Váš domov ve vašich očích (com.closeli.eyeplus) – přes 100 000 stažení

Tyto aplikace byly od té doby odstraněny z Google Play. Ekvivalentní verze byly publikovány také v Apple App Storu; varianty pro iOS však neobsahovaly škodlivý kód, což posiluje závěr, že Keenadu je speciálně navržen pro cílení na tablety s Androidem.

Bezpečnostní důsledky: Hrozba pro základní model důvěryhodnosti systému Android

Keenadu představuje vážnou hrozbu kvůli své integraci do knihovny libandroid_runtime.so, což mu umožňuje fungovat v kontextu každé aplikace. To efektivně podkopává sandboxový model Androidu a poskytuje skrytý přístup ke všem datům zařízení.

Jeho schopnost obejít standardní kontroly oprávnění transformuje malware na plnohodnotný backdoor s neomezenými oprávněními na úrovni systému. Sofistikovanost implementace demonstruje pokročilé znalosti architektury Androidu, správy životního cyklu aplikací a základních bezpečnostních mechanismů.

Keenadu vyniká jako rozsáhlá a vysoce komplexní malwarová platforma schopná poskytovat trvalou a adaptabilní kontrolu nad napadenými zařízeními. Ačkoli je v současnosti využívána především k reklamním podvodům, její architektonická hloubka naznačuje věrohodné riziko eskalace směrem ke krádeži přihlašovacích údajů a širším kyberzločineckým operacím.

Trendy

CIMB Bank - Podvod s převodem na váš účet e-mailem

Phishing, Spam
Neočekávané e-maily, které údajně zahrnují finanční transakce, vyžadují zvláštní opatrnost, protože se často používají k manipulaci příjemců a k dopouštění se nákladných chyb. Bdělost při řešení nevyžádaných zpráv je zásadní, zejména pokud tlačí na uživatele ke kontrole plateb nebo ověření účtů. E-maily s textem „CIMB Bank – Převod na váš účet“ spadají přímo do této kategorie a nejsou spojeny s...

Nejvíce shlédnuto

Načítání...