Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Mobiilne pahavara Keenadu tagauks

Keenadu tagauks

Aastaks Mezo aastal Mobiilne pahavara, Tagauksed
Tõlgi:

Seadme püsivara sisse on peidetud keerukas Androidi tagauks, mida tuntakse Keenadu nime all. See võimaldab vaikset andmete kogumist ja nakatunud süsteemide kaugjuhtimist. Turvauurijad avastasid ohu püsivaras, mis on seotud mitme müüjaga, sealhulgas Alldocube'iga, ning tõendid näitavad, et ohtu sattus püsivara loomise faasis. Keenadu on olnud Alldocube iPlay 50 mini Pro püsivaras vähemalt alates 18. augustist 2023.

Kõigil kinnitatud juhtudel asus pahatahtlik kood tahvelarvuti püsivara kujutistes, millel olid kehtivad digitaalallkirjad, mis suurendas tarneahela ohtu sattumise tõenäosust. Mõned nakatunud püsivara paketid levitati OTA-uuenduste kaudu. Pärast installimist süstib tagauks end käivitamisel iga rakenduse mäluruumi, toimides mitmeastmelise laadurina, mis annab ründajatele seadme üle piiramatu kaugjuhtimise.

Telemeetria näitab, et Keenadu või sellega seotud moodulitega on kokku puutunud 13 715 kasutajat üle maailma. Suurim nakatumiste kontsentratsioon on täheldatud Venemaal, Jaapanis, Saksamaal, Brasiilias ja Hollandis.

Sügav süsteemimanipulatsioon: Androidi põhiprotsesside ärakasutamine

Keenadu avalikustati 2025. aasta detsembri lõpus ja seda kirjeldati kui tagaust, mis on implanteeritud libandroid_runtime.so-sse, mis on Androidi käivitamise ajal laaditav kriitiline jagatud teeki. Kui pahavara on aktiivne, süstib see end Zygote protsessi – käitumist, mida on varem täheldatud Androidi pahavara Triada puhul.

Pahatahtlik rutiin käivitatakse libandroid_runtime.so faili sisestatud funktsiooni kaudu. Esmalt kontrollib see, kas see töötab Google'i teenuste või mobiilsideoperaatoritega (nt Sprint ja T-Mobile) seotud süsteemirakendustes; kui jah, siis täitmine peatatakse. Sisseehitatud tapmislüliti peatab pahavara ka siis, kui süsteemikataloogides tuvastatakse teatud failinimed.

Seejärel kontrollib tagauks, kas see töötab privilegeeritud system_server protsessi raames, mis haldab süsteemi põhifunktsioone ja mille Zygote käivitab alglaadimise ajal. Sõltuvalt keskkonnast initsialiseerib pahavara ühe kahest komponendist:

  • AKServer, mis sisaldab põhilist käsklus- ja juhtimisloogikat (C2) ja täitmismootorit
  • AKClient, mis süstitakse igasse käivitatud rakendusse ja toimib AKServeriga sidesillana

See arhitektuur võimaldab ründajatel pahatahtlikke andmeid konkreetsetele rakendustele kohandada. Serverikomponent saab rakenduste õigusi anda või tühistada, geograafilise asukoha andmeid hankida ja seadme kohta käivat teavet välja filtreerida. Täiendavad kaitsemeetmed tagavad, et pahavara lakkab töötamast, kui seadme keeleks on Hiina ajavööndis hiina keel või kui Google Play pood või Google Play teenused puuduvad.

Kui Keenadu vastab operatiivsetele kriteeriumidele, dekrüpteerib ta oma C2 aadressi ja edastab krüpteeritud seadme metaandmed. Server vastab krüpteeritud JSON-konfiguratsiooniga, mis kirjeldab saadaolevaid kasulikke andmeid. Avastamise vältimiseks ja analüüsi keerulisemaks muutmiseks lükkab tagauks kasuliku teabe edastamist umbes kaks ja pool kuud edasi pärast seadme esialgset registreerimist. Ründajad tuginevad oma sisu edastamise infrastruktuurina Alibaba Cloudile.

Pahatahtlikud moodulid: monetiseerimine, kaaperdamine ja reklaamipettus

Keenadu toimib modulaarse pahavara platvormina, mis on võimeline juurutama mitmesuguseid spetsiaalseid komponente. Tuvastatud moodulite hulka kuuluvad järgmised:

  • Keenadu Loader sihib populaarseid e-kaubanduse platvorme nagu Amazon, Shein ja Temu, võimaldades potentsiaalselt volitamata ostukorvi manipuleerimist.
  • Clicker Loader süstiti sellistesse rakendustesse nagu YouTube, Facebook, Google Digital Wellbeing ja Androidi süsteemi käivitaja, et petturlikult reklaamielementidega suhelda.
  • Google Chrome'i moodul, mis on suunatud Google Chrome'ile otsingupäringute kaaperdamiseks ja nende suunamiseks alternatiivsetesse otsingumootoritesse, kuigi automaatse täitmise valikud võivad mõnikord kaaperdamiskatset takistada.
  • Süsteemi taustapildi valijasse integreeritud Nova Clicker, mis kasutab masinõpet ja WebRTC-d reklaamisisuga suhtlemiseks. Seda komponenti analüüsis varem Doctor Web koodnime Phantom all.
  • Paigalda süsteemi käivitajasse manustatud monetiseerimismoodul, et genereerida petturlikku reklaamitulu rakenduste installimiste vale jaotamise teel.
  • Google Play moodul, mis hangib Google Adsi reklaami ID ja salvestab selle võtme „S_GA_ID3” alla mooduliteüleseks jälgimiseks ja ohvrite tuvastamiseks.

Kuigi praegune tegevus keskendub reklaamipettustele, pakub raamistiku paindlikkus tulevikus märkimisväärset potentsiaali volituste vargusteks ja pahatahtlike operatsioonide laiendamiseks.

Jaotuskanalite ja ökosüsteemi seoste laiendamine

Lisaks püsivara tasemel implanteerimisele on täheldatud ka teisi levikuvektoreid. Keenadu laadur on integreeritud põhisüsteemi rakendustesse, näiteks näotuvastusteenustesse ja käivitusprogrammidesse. Sarnaseid taktikaid seostati varem Dwphoniga, mis oli suunatud OTA värskendusmehhanismide vastu.

Teine täheldatud meetod hõlmab tegutsemist süsteemides, mida on juba ohustanud eraldi eelinstallitud BADBOXi meenutav tagauks. Triada ja BADBOXi vahel on tuvastatud ka infrastruktuuri kattumisi, mis viitab botnetivõrgu koostööle. 2025. aasta märtsis ilmnesid BADBOXi ja Vo1d vahel täiendavad seosed, mis olid suunatud teiste kaubamärkide Android TV seadmetele.

Keenadut on levitatud ka Hangzhou Denghong Technology Co., Ltd. poolt Google Plays avaldatud troojalaste nutikaamera rakenduste kaudu. Mõjutatud rakenduste hulka kuulusid:

  • Eoolii (com.taismart.global) – üle 100 000 allalaadimise
  • Ziicam (com.ziicam.aws) – üle 100 000 allalaadimise
  • Eyeplus – Sinu kodu sinu silmades (com.closeli.eyeplus) – üle 100 000 allalaadimise

Need rakendused on nüüdseks Google Playst eemaldatud. Samaväärsed versioonid avaldati ka Apple App Store'is; iOS-i variandid ei sisaldanud aga pahatahtlikku koodi, mis kinnitab järeldust, et Keenadu on spetsiaalselt loodud Androidi tahvelarvutite sihtimiseks.

Turvalisusega seotud tagajärjed: oht Androidi põhilisele usaldusmudelile

Keenadu kujutab endast tõsist ohtu tänu oma integratsioonile libandroid_runtime.so-ga, mis võimaldab sellel töötada iga rakenduse kontekstis. See õõnestab tõhusalt Androidi liivakastimudelit ja pakub salajast juurdepääsu kõigile seadme andmetele.

Selle võime mööda hiilida standardsetest õiguste kontrollidest muudab pahavara täieõiguslikuks tagaukseks, millel on piiramatud süsteemitasandi volitused. Rakenduse keerukus näitab kõrgetasemelist asjatundlikkust Androidi arhitektuuri, rakenduste elutsükli halduse ja põhiliste turvamehhanismide alal.

Keenadu paistab silma ulatusliku ja ülimalt keeruka pahavaraplatvormina, mis suudab pakkuda püsivat ja kohandatavat kontrolli ohustatud seadmete üle. Kuigi seda kasutatakse praegu peamiselt reklaamipettusteks, viitab selle arhitektuuriline sügavus usutavale eskaleerumise ohule volituste varguse ja laiemate küberkuritegevuse suunas.

Trendikas

CIMB Pank – teie kontole ülekande tegemisega seotud...

Andmepüük, Rämpspost
Ootamatud meilid, mis väidetavalt hõlmavad finantstehinguid, nõuavad erilist ettevaatust, kuna neid kasutatakse sageli saajate manipuleerimiseks kulukate vigade tegemiseks. Soovimatute sõnumitega tegelemisel on valvsaks jäämine ülioluline, eriti kui need survestavad kasutajaid makseid üle vaatama või kontosid kinnitama. Meilid „CIMB Bank – ülekanne teie kontole” kuuluvad täpselt sellesse...

Enim vaadatud

Laadimine...