Rabattilbud med flere licenser
Trusseldatabase Mobil malware Keenadu-bagdør

Keenadu-bagdør

Med Mezo i Mobil malware, Bagdøre
Oversæt til:

En sofistikeret Android-bagdør kendt som Keenadu er blevet identificeret indlejret dybt i enhedens firmware, hvilket muliggør lydløs dataindsamling og fjernstyring af inficerede systemer. Sikkerhedsforskere afdækkede truslen i firmware knyttet til flere leverandører, herunder Alldocube, med beviser, der viser, at kompromitteringen fandt sted under firmware-opbygningsfasen. Keenadu har været til stede i firmware til Alldocube iPlay 50 mini Pro siden mindst 18. august 2023.

I alle bekræftede tilfælde befandt den skadelige kode sig i tablet-firmwarebilleder, der indeholdt gyldige digitale signaturer, hvilket forstærkede sandsynligheden for kompromittering af forsyningskæden. Nogle inficerede firmwarepakker blev distribueret via OTA-opdateringer (over-the-air). Når bagdøren er installeret, injicerer den sig selv i hukommelsespladsen for alle applikationer ved opstart og fungerer som en flertrinsindlæser, der giver angriberne ubegrænset fjernkontrol over enheden.

Telemetri viser, at 13.715 brugere verden over har stødt på Keenadu eller dets tilhørende moduler. Den højeste koncentration af infektioner er observeret i Rusland, Japan, Tyskland, Brasilien og Holland.

Dyb systemmanipulation: Udnyttelse af kerne-Android-processer

Keenadu blev offentliggjort i slutningen af december 2025 og beskrevet som en bagdør implanteret i libandroid_runtime.so, et kritisk delt bibliotek indlæst under Android-opstartsprocessen. Når malwaren er aktiv, injicerer den sig selv i Zygote-processen, en adfærd der tidligere er observeret i Android-malwaren Triada.

Den ondsindede rutine udløses via en funktion, der indsættes i libandroid_runtime.so. Den verificerer først, om den kører i systemapplikationer, der er tilknyttet Google-tjenester eller mobiludbydere som Sprint og T-Mobile. Hvis det er tilfældet, stoppes udførelsen. En indbygget kill switch afslutter også malwaren, når specifikke filnavne registreres i systemmapper.

Bagdøren kontrollerer derefter, om den opererer inden for den privilegerede system_server-proces, som styrer systemets kernefunktionalitet og startes af Zygote under opstart. Afhængigt af miljøet initialiserer malwaren en af to komponenter:

  • AKServer, som indeholder den centrale kommando-og-kontrol (C2) logik og udførelsesmotor
  • AKClient, som injiceres i hver startede applikation og fungerer som en kommunikationsbro til AKServer

Denne arkitektur giver angribere mulighed for at skræddersy skadelige data til specifikke applikationer. Serverkomponenten kan give eller tilbagekalde apptilladelser, hente geoplaceringsdata og tømme enhedsoplysninger. Yderligere sikkerhedsforanstaltninger sikrer, at malwaren ophører, hvis enhedens sprog er indstillet til kinesisk inden for en kinesisk tidszone, eller hvis Google Play Butik eller Google Play-tjenester ikke er tilgængelige.

Når Keenadu opfylder de operationelle kriterier, dekrypterer den sin C2-adresse og sender krypterede enhedsmetadata. Serveren svarer med en krypteret JSON-konfiguration, der specificerer tilgængelige nyttelast. For at undgå detektion og komplicere analysen forsinker bagdøren levering af nyttelast i cirka to en halv måned efter den første enhedsindtjekning. Angriberne bruger Alibaba Cloud som deres infrastruktur til indholdslevering.

Ondsindede moduler: Monetisering, kapring og annoncesvindel

Keenadu fungerer som en modulær malwareplatform, der er i stand til at implementere forskellige specialiserede komponenter. Identificerede moduler omfatter følgende:

  • Keenadu Loader målretter sig mod populære e-handelsplatforme som Amazon, Shein og Temu, hvilket potentielt muliggør uautoriseret manipulation af indkøbskurve.
  • Clicker Loader blev injiceret i applikationer som YouTube, Facebook, Google Digital Wellbeing og Android-systemstarteren for at interagere svigagtigt med reklameelementer.
  • Google Chrome-modul, der målretter Google Chrome mod at kapre søgeforespørgsler og omdirigere dem til alternative søgemaskiner, selvom autofuldførelsesvalg nogle gange kan forstyrre kapringsforsøget.
  • Nova Clicker, integreret i systemets baggrundsbilledevælger og udnytter maskinlæring og WebRTC til at interagere med reklameindhold. Denne komponent blev tidligere analyseret under kodenavnet Phantom af Doctor Web.
  • Installer monetiseringsmodulet, der er integreret i systemstarteren, for at generere svigagtige annonceindtægter ved at fejlagtigt tilskrive programinstallationer.
  • Google Play-modul, som henter Google Ads-annonce-ID'et og gemmer det under nøglen 'S_GA_ID3' til sporing på tværs af moduler og identifikation af offer.

Selvom det nuværende operationelle fokus er centreret om reklamesvindel, udgør rammeværkets fleksibilitet et betydeligt potentiale for tyveri af legitimationsoplysninger og udvidede ondsindede operationer i fremtiden.

Udvidelse af distributionskanaler og økosystemforbindelser

Ud over implantation på firmwareniveau er der observeret yderligere distributionsvektorer. Keenadu-loaderen er blevet integreret i kernesystemapplikationer såsom ansigtsgenkendelsestjenester og launchers. Lignende taktikker var tidligere forbundet med Dwphon, som var målrettet OTA-opdateringsmekanismer.

En anden observeret metode involverer operation i systemer, der allerede er kompromitteret af en separat forudinstalleret bagdør, der ligner BADBOX. Der er også identificeret overlap i infrastrukturen mellem Triada og BADBOX, hvilket tyder på botnet-samarbejde. I marts 2025 opstod yderligere forbindelser mellem BADBOX og Vo1d, som var rettet mod Android TV-enheder uden for mærket.

Keenadu er også blevet distribueret via trojanske smartkamera-applikationer udgivet på Google Play af Hangzhou Denghong Technology Co., Ltd. De berørte applikationer omfattede:

  • Eoolii (com.taismart.global) – over 100.000 downloads
  • Ziicam (com.ziicam.aws) – over 100.000 downloads
  • Eyeplus – Dit hjem i dine øjne (com.closeli.eyeplus) – over 100.000 downloads

Disse applikationer er siden blevet fjernet fra Google Play. Tilsvarende versioner blev også udgivet i Apple App Store; iOS-varianterne indeholdt dog ikke skadelig kode, hvilket forstærker konklusionen om, at Keenadu er specifikt udviklet til at målrette Android-tablets.

Sikkerhedsmæssige konsekvenser: En trussel mod Androids kernemodel for tillid

Keenadu udgør en alvorlig trussel på grund af sin integration i libandroid_runtime.so, hvilket gør det muligt for det at fungere i konteksten af alle applikationer. Dette underminerer effektivt Androids sandboxing-model og giver skjult adgang til alle enhedsdata.

Dens evne til at omgå standardtilladelseskontroller forvandler malwaren til en fuldgyldig bagdør med ubegrænset autoritet på systemniveau. Implementeringens sofistikerede karakter demonstrerer avanceret ekspertise inden for Android-arkitektur, applikationslivscyklusstyring og centrale sikkerhedsmekanismer.

Keenadu skiller sig ud som en storstilet og meget kompleks malwareplatform, der er i stand til at levere vedvarende og fleksibel kontrol over kompromitterede enheder. Selvom den i øjeblikket primært udnyttes til reklamesvindel, antyder dens arkitektoniske dybde en troværdig risiko for eskalering mod tyveri af legitimationsoplysninger og bredere cyberkriminelle operationer.

Trending

CIMB Bank - E-mail-svindel med overførsel til din konto

Phishing, Spam
Uventede e-mails, der hævder at involvere finansielle transaktioner, kræver ekstra forsigtighed, da de ofte bruges til at manipulere modtagere til at begå dyre fejl. Det er afgørende at være opmærksom, når man håndterer uopfordrede beskeder, især når de presser brugerne til at gennemgå betalinger eller verificere konti. E-mails af typen 'CIMB Bank – Overførsel til din konto' falder direkte ind...

Mest sete

Indlæser...