Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κερκόπορτα Keenadu

Κερκόπορτα Keenadu

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Backdoors
Μετάφραση σε:

Ένα εξελιγμένο backdoor για Android, γνωστό ως Keenadu, εντοπίστηκε ενσωματωμένο βαθιά μέσα στο υλικολογισμικό της συσκευής, επιτρέποντας την αθόρυβη συλλογή δεδομένων και τον τηλεχειρισμό μολυσμένων συστημάτων. Ερευνητές ασφαλείας αποκάλυψαν την απειλή σε υλικολογισμικό που συνδέεται με πολλούς προμηθευτές, συμπεριλαμβανομένου του Alldocube, με στοιχεία που δείχνουν ότι η παραβίαση πραγματοποιήθηκε κατά τη φάση δημιουργίας του υλικολογισμικού. Το Keenadu υπάρχει στο υλικολογισμικό για το Alldocube iPlay 50 mini Pro τουλάχιστον από τις 18 Αυγούστου 2023.

Σε κάθε επιβεβαιωμένη περίπτωση, ο κακόβουλος κώδικας βρισκόταν σε εικόνες υλικολογισμικού tablet που έφεραν έγκυρες ψηφιακές υπογραφές, ενισχύοντας την πιθανότητα παραβίασης της αλυσίδας εφοδιασμού. Ορισμένα μολυσμένα πακέτα υλικολογισμικού διανεμήθηκαν μέσω ενημερώσεων over-the-air (OTA). Μόλις εγκατασταθεί, το backdoor εισάγεται στον χώρο μνήμης κάθε εφαρμογής κατά την εκκίνηση, λειτουργώντας ως πολυβάθμιο πρόγραμμα φόρτωσης που παρέχει στους εισβολείς απεριόριστο τηλεχειριστήριο στη συσκευή.

Η τηλεμετρία δείχνει ότι 13.715 χρήστες παγκοσμίως έχουν συναντήσει το Keenadu ή τις σχετικές μονάδες του. Η υψηλότερη συγκέντρωση μολύνσεων έχει παρατηρηθεί στη Ρωσία, την Ιαπωνία, τη Γερμανία, τη Βραζιλία και την Ολλανδία.

Βαθιά Χειραγώγηση Συστήματος: Εκμετάλλευση Βασικών Διεργασιών Android

Το Keenadu αποκαλύφθηκε δημόσια στα τέλη Δεκεμβρίου 2025 και περιγράφηκε ως ένα backdoor που εμφυτεύτηκε στο libandroid_runtime.so, μια κρίσιμη κοινόχρηστη βιβλιοθήκη που φορτώνεται κατά τη διαδικασία εκκίνησης του Android. Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό εισάγεται στη διαδικασία Zygote, μια συμπεριφορά που είχε παρατηρηθεί προηγουμένως στο κακόβουλο λογισμικό Triada για Android.

Η κακόβουλη ρουτίνα ενεργοποιείται μέσω μιας συνάρτησης που εισάγεται στο libandroid_runtime.so. Αρχικά, επαληθεύει εάν εκτελείται εντός εφαρμογών συστήματος που σχετίζονται με υπηρεσίες Google ή παρόχους κινητής τηλεφωνίας όπως η Sprint και η T-Mobile. Εάν ναι, η εκτέλεση διακόπτεται. Ένας ενσωματωμένος διακόπτης kill τερματίζει επίσης το κακόβουλο λογισμικό όταν εντοπίζονται συγκεκριμένα ονόματα αρχείων σε καταλόγους συστήματος.

Στη συνέχεια, το backdoor ελέγχει εάν λειτουργεί εντός της διεργασίας privilege system_server, η οποία διέπει τη λειτουργικότητα του βασικού συστήματος και εκκινείται από το Zygote κατά την εκκίνηση. Ανάλογα με το περιβάλλον, το κακόβουλο λογισμικό αρχικοποιεί ένα από τα δύο στοιχεία:

  • AKServer, ο οποίος περιέχει την βασική λογική εντολών και ελέγχου (C2) και τη μηχανή εκτέλεσης
  • AKClient, το οποίο εγχέεται σε κάθε εφαρμογή που εκκινείται και λειτουργεί ως γέφυρα επικοινωνίας με τον AKServer

Αυτή η αρχιτεκτονική επιτρέπει στους εισβολείς να προσαρμόζουν κακόβουλα φορτία σε συγκεκριμένες εφαρμογές. Το στοιχείο του διακομιστή μπορεί να εκχωρεί ή να ανακαλεί δικαιώματα εφαρμογών, να ανακτά δεδομένα γεωγραφικής τοποθεσίας και να αποσπά πληροφορίες συσκευής. Πρόσθετες δικλείδες ασφαλείας διασφαλίζουν ότι το κακόβουλο λογισμικό τερματίζεται εάν η γλώσσα της συσκευής έχει οριστεί στα Κινέζικα εντός μιας κινεζικής ζώνης ώρας ή εάν το Google Play Store ή οι Υπηρεσίες Google Play απουσιάζουν.

Μόλις πληρούνται τα λειτουργικά κριτήρια, το Keenadu αποκρυπτογραφεί τη διεύθυνση C2 και μεταδίδει κρυπτογραφημένα μεταδεδομένα συσκευής. Ο διακομιστής αποκρίνεται με μια κρυπτογραφημένη διαμόρφωση JSON που περιγράφει λεπτομερώς τα διαθέσιμα ωφέλιμα φορτία. Για να αποφύγει τον εντοπισμό και να περιπλέξει την ανάλυση, το backdoor καθυστερεί την παράδοση του ωφέλιμου φορτίου για περίπου δυόμισι μήνες μετά το αρχικό check-in της συσκευής. Οι εισβολείς βασίζονται στο Alibaba Cloud ως υποδομή παράδοσης περιεχομένου.

Κακόβουλες Ενότητες: Δημιουργία εσόδων, Παραβίαση και Διαφημιστική Απάτη

Το Keenadu λειτουργεί ως μια αρθρωτή πλατφόρμα κακόβουλου λογισμικού ικανή να αναπτύξει διάφορα εξειδικευμένα στοιχεία. Οι αναγνωρισμένες ενότητες περιλαμβάνουν τα ακόλουθα:

  • Το Keenadu Loader στοχεύει δημοφιλείς πλατφόρμες ηλεκτρονικού εμπορίου όπως οι Amazon, Shein και Temu, επιτρέποντας ενδεχομένως μη εξουσιοδοτημένη χειραγώγηση του καλαθιού αγορών.
  • Το Clicker Loader εγχύθηκε σε εφαρμογές όπως το YouTube, το Facebook, το Google Digital Wellbeing και το πρόγραμμα εκκίνησης συστήματος Android για να αλληλεπιδράσει δόλια με διαφημιστικά στοιχεία.
  • Η ενότητα Google Chrome στοχεύει το Google Chrome για την παραβίαση ερωτημάτων αναζήτησης και την ανακατεύθυνσή τους σε εναλλακτικές μηχανές αναζήτησης, αν και οι επιλογές αυτόματης συμπλήρωσης ενδέχεται μερικές φορές να διακόψουν την προσπάθεια παραβίασης.
  • Το Nova Clicker, ενσωματωμένο στον επιλογέα ταπετσαρίας του συστήματος και αξιοποιώντας τη μηχανική μάθηση και το WebRTC για την αλληλεπίδραση με διαφημιστικό περιεχόμενο. Αυτό το στοιχείο είχε αναλυθεί προηγουμένως με την κωδική ονομασία Phantom από τον Doctor Web.
  • Εγκαταστήστε τη Μονάδα Δημιουργίας Εσόδων (Monetization Module), ενσωματωμένη στο πρόγραμμα εκκίνησης συστήματος, για να δημιουργήσετε δόλια έσοδα από διαφημίσεις μέσω εσφαλμένης απόδοσης εγκαταστάσεων εφαρμογών.
  • Ενότητα Google Play, η οποία ανακτά το αναγνωριστικό διαφήμισης Google Ads και το αποθηκεύει με το κλειδί 'S_GA_ID3' για παρακολούθηση μεταξύ ενοτήτων και αναγνώριση θυμάτων.

Ενώ η τρέχουσα επιχειρησιακή εστίαση επικεντρώνεται στην απάτη μέσω διαφήμισης, η ευελιξία του πλαισίου παρουσιάζει σημαντικές δυνατότητες για κλοπή διαπιστευτηρίων και επέκταση κακόβουλων επιχειρήσεων στο μέλλον.

Επέκταση καναλιών διανομής και συνδέσεων οικοσυστήματος

Πέρα από την εμφύτευση σε επίπεδο υλικολογισμικού, έχουν παρατηρηθεί πρόσθετα διανύσματα διανομής. Ο φορτωτής Keenadu έχει ενσωματωθεί σε βασικές εφαρμογές συστήματος, όπως υπηρεσίες αναγνώρισης προσώπου και προγράμματα εκκίνησης. Παρόμοιες τακτικές είχαν συσχετιστεί προηγουμένως με το Dwphon, το οποίο στόχευε σε μηχανισμούς ενημέρωσης OTA.

Μια άλλη παρατηρούμενη μέθοδος περιλαμβάνει τη λειτουργία σε συστήματα που έχουν ήδη παραβιαστεί από ένα ξεχωριστό προεγκατεστημένο backdoor που μοιάζει με BADBOX. Έχουν επίσης εντοπιστεί επικαλύψεις υποδομών μεταξύ του Triada και του BADBOX, γεγονός που υποδηλώνει συνεργασία botnet. Τον Μάρτιο του 2025, προέκυψαν περαιτέρω συνδέσεις μεταξύ του BADBOX και του Vo1d, οι οποίες στόχευαν σε συσκευές Android TV εκτός μάρκας.

Το Keenadu έχει επίσης διανεμηθεί μέσω εφαρμογών έξυπνης κάμερας που έχουν μολυνθεί από trojan και έχουν δημοσιευτεί στο Google Play από την Hangzhou Denghong Technology Co., Ltd. Οι εφαρμογές που επηρεάστηκαν περιλαμβάνουν:

  • Eoolii (com.taismart.global) – πάνω από 100.000 λήψεις
  • Ziicam (com.ziicam.aws) – πάνω από 100.000 λήψεις
  • Eyeplus – Το σπίτι σας στα μάτια σας (com.closeli.eyeplus) – πάνω από 100.000 λήψεις

Αυτές οι εφαρμογές έχουν έκτοτε αφαιρεθεί από το Google Play. Ισοδύναμες εκδόσεις δημοσιεύθηκαν επίσης στο Apple App Store. Ωστόσο, οι παραλλαγές iOS δεν περιείχαν κακόβουλο κώδικα, ενισχύοντας το συμπέρασμα ότι το Keenadu έχει σχεδιαστεί ειδικά για να στοχεύει tablet Android.

Επιπτώσεις στην ασφάλεια: Μια απειλή για το βασικό μοντέλο εμπιστοσύνης του Android

Το Keenadu αποτελεί σοβαρή απειλή λόγω της ενσωμάτωσής του στο libandroid_runtime.so, επιτρέποντάς του να λειτουργεί στο πλαίσιο κάθε εφαρμογής. Αυτό υπονομεύει αποτελεσματικά το μοντέλο sandboxing του Android και παρέχει μυστική πρόσβαση σε όλα τα δεδομένα της συσκευής.

Η ικανότητά του να παρακάμπτει τα τυπικά στοιχεία ελέγχου δικαιωμάτων μετατρέπει το κακόβουλο λογισμικό σε ένα πλήρες backdoor με απεριόριστη εξουσία σε επίπεδο συστήματος. Η πολυπλοκότητα της υλοποίησης καταδεικνύει προηγμένη εμπειρία στην αρχιτεκτονική Android, τη διαχείριση του κύκλου ζωής εφαρμογών και τους βασικούς μηχανισμούς ασφαλείας.

Το Keenadu ξεχωρίζει ως μια πλατφόρμα κακόβουλου λογισμικού μεγάλης κλίμακας και εξαιρετικά πολύπλοκη, ικανή να παρέχει επίμονο και προσαρμόσιμο έλεγχο σε παραβιασμένες συσκευές. Παρόλο που προς το παρόν χρησιμοποιείται κυρίως για διαφημιστική απάτη, το αρχιτεκτονικό του βάθος υποδηλώνει έναν αξιόπιστο κίνδυνο κλιμάκωσης προς κλοπή διαπιστευτηρίων και ευρύτερες κυβερνοεγκληματικές δραστηριότητες.

Τάσεις

CIMB Bank - Απάτη μέσω email με μεταφορά στον...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα μη αναμενόμενα email που ισχυρίζονται ότι περιλαμβάνουν οικονομικές συναλλαγές απαιτούν ιδιαίτερη προσοχή, καθώς χρησιμοποιούνται συχνά για να χειραγωγήσουν τους παραλήπτες ώστε να κάνουν δαπανηρά λάθη. Η επαγρύπνηση κατά την αντιμετώπιση ανεπιθύμητων μηνυμάτων είναι ζωτικής σημασίας, ειδικά όταν πιέζουν τους χρήστες να ελέγξουν πληρωμές ή να επαληθεύσουν λογαριασμούς. Τα email «CIMB Bank –...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
25,820
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...