قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل Keenadu Backdoor

Keenadu Backdoor

تا Mezo در بدافزار موبایل, درهای پشتی
ترجمه به:

یک درِ پشتیِ پیچیده‌ی اندروید به نام Keenadu شناسایی شده است که در اعماق میان‌افزار دستگاه جاسازی شده و امکان جمع‌آوری بی‌سروصدای داده‌ها و کنترل از راه دور سیستم‌های آلوده را فراهم می‌کند. محققان امنیتی این تهدید را در میان‌افزار مرتبط با چندین فروشنده، از جمله Alldocube، کشف کردند و شواهدی نشان می‌دهد که این نفوذ در مرحله‌ی ساخت میان‌افزار رخ داده است. Keenadu حداقل از ۱۸ آگوست ۲۰۲۳ در میان‌افزار Alldocube iPlay 50 mini Pro وجود داشته است.

در هر مورد تایید شده، کد مخرب در تصاویر میان‌افزار تبلت که امضاهای دیجیتالی معتبری داشتند، قرار داشت و احتمال نفوذ به زنجیره تأمین را تقویت می‌کرد. برخی از بسته‌های میان‌افزار آلوده از طریق به‌روزرسانی‌های بی‌سیم (OTA) توزیع شدند. پس از نصب، این درِ پشتی خود را در فضای حافظه هر برنامه در هنگام اجرا تزریق می‌کند و به عنوان یک بارگذاری‌کننده چند مرحله‌ای عمل می‌کند که به مهاجمان امکان کنترل از راه دور نامحدود بر روی دستگاه را می‌دهد.

تله‌متری نشان می‌دهد که ۱۳۷۱۵ کاربر در سراسر جهان با Keenadu یا ماژول‌های مرتبط با آن مواجه شده‌اند. بیشترین غلظت آلودگی در روسیه، ژاپن، آلمان، برزیل و هلند مشاهده شده است.

دستکاری عمیق سیستم: بهره‌برداری از فرآیندهای اصلی اندروید

Keenadu در اواخر دسامبر ۲۰۲۵ به طور عمومی افشا شد و به عنوان یک درب پشتی کاشته شده در libandroid_runtime.so، یک کتابخانه اشتراکی حیاتی که در طول فرآیند بوت اندروید بارگذاری می‌شود، توصیف شد. پس از فعال شدن، این بدافزار خود را به فرآیند Zygote تزریق می‌کند، رفتاری که قبلاً در بدافزار اندرویدی Triada مشاهده شده بود.

این روال مخرب از طریق تابعی که در libandroid_runtime.so قرار داده شده است، فعال می‌شود. ابتدا بررسی می‌کند که آیا در حال اجرای برنامه‌های سیستمی مرتبط با سرویس‌های گوگل یا اپراتورهای تلفن همراه مانند Sprint و T-Mobile است یا خیر؛ در صورت وجود چنین موردی، اجرا متوقف می‌شود. یک کلید kill داخلی نیز هنگام شناسایی نام فایل‌های خاص در دایرکتوری‌های سیستم، بدافزار را خاتمه می‌دهد.

سپس این درب پشتی بررسی می‌کند که آیا در داخل فرآیند دارای امتیاز system_server که عملکرد اصلی سیستم را کنترل می‌کند و توسط Zygote در هنگام بوت راه‌اندازی می‌شود، فعالیت می‌کند یا خیر. بسته به محیط، بدافزار یکی از دو مؤلفه زیر را مقداردهی اولیه می‌کند:

  • AKServer، که شامل موتور منطقی و اجرایی اصلی فرمان و کنترل (C2) است
  • AKClient، که به هر برنامه‌ی اجرا شده تزریق می‌شود و به عنوان یک پل ارتباطی با AKServer عمل می‌کند.

این معماری به مهاجمان اجازه می‌دهد تا بارهای مخرب را برای برنامه‌های خاص تنظیم کنند. مؤلفه سرور می‌تواند مجوزهای برنامه را اعطا یا لغو کند، داده‌های موقعیت مکانی را بازیابی کند و اطلاعات دستگاه را استخراج کند. اقدامات حفاظتی اضافی تضمین می‌کند که اگر زبان دستگاه در منطقه زمانی چین روی چینی تنظیم شده باشد، یا اگر فروشگاه Google Play یا سرویس‌های Google Play وجود نداشته باشند، بدافزار از بین می‌رود.

پس از برآورده شدن معیارهای عملیاتی، Keenadu آدرس C2 خود را رمزگشایی کرده و فراداده‌های رمزگذاری شده دستگاه را ارسال می‌کند. سرور با یک پیکربندی JSON رمزگذاری شده که جزئیات بارهای داده موجود را شرح می‌دهد، پاسخ می‌دهد. برای جلوگیری از شناسایی و پیچیده شدن تجزیه و تحلیل، این درِ پشتی، تحویل بار داده را تقریباً دو ماه و نیم پس از بررسی اولیه دستگاه به تأخیر می‌اندازد. مهاجمان به Alibaba Cloud به عنوان زیرساخت تحویل محتوای خود متکی هستند.

ماژول‌های مخرب: کسب درآمد، ربودن و کلاهبرداری تبلیغاتی

Keenadu به عنوان یک پلتفرم بدافزار ماژولار عمل می‌کند که قادر به استقرار اجزای تخصصی مختلف است. ماژول‌های شناسایی شده شامل موارد زیر هستند:

  • Keenadu Loader پلتفرم‌های محبوب تجارت الکترونیک مانند آمازون، Shein و Temu را هدف قرار می‌دهد و به طور بالقوه امکان دستکاری غیرمجاز سبد خرید را فراهم می‌کند.
  • Clicker Loader به برنامه‌هایی مانند یوتیوب، فیس‌بوک، Google Digital Wellbeing و لانچر سیستم اندروید تزریق می‌شد تا با عناصر تبلیغاتی به صورت متقلبانه تعامل داشته باشد.
  • ماژول گوگل کروم که گوگل کروم را هدف قرار می‌دهد تا جستجوها را بدزدد و آنها را به موتورهای جستجوی جایگزین هدایت کند، اگرچه انتخاب‌های تکمیل خودکار ممکن است گاهی اوقات تلاش برای بدزدن را مختل کنند.
  • Nova Clicker، که در انتخابگر تصویر زمینه سیستم تعبیه شده و از یادگیری ماشینی و WebRTC برای تعامل با محتوای تبلیغاتی استفاده می‌کند. این مؤلفه قبلاً تحت نام رمز Phantom توسط Doctor Web مورد تجزیه و تحلیل قرار گرفته بود.
  • ماژول کسب درآمد را که در لانچر سیستم تعبیه شده است، نصب کنید تا با نسبت دادن نادرست نصب‌های برنامه، درآمد تبلیغاتی جعلی ایجاد کنید.
  • ماژول گوگل پلی، که شناسه تبلیغات گوگل ادز را بازیابی کرده و آن را تحت کلید 'S_GA_ID3' برای ردیابی بین ماژولی و شناسایی قربانی ذخیره می‌کند.

در حالی که تمرکز عملیاتی فعلی بر کلاهبرداری تبلیغاتی است، انعطاف‌پذیری این چارچوب، پتانسیل قابل توجهی برای سرقت اعتبارنامه‌ها و گسترش عملیات مخرب در آینده ارائه می‌دهد.

گسترش کانال‌های توزیع و پیوندهای اکوسیستم

فراتر از کاشت در سطح میان‌افزار، بردارهای توزیع دیگری نیز مشاهده شده‌اند. لودر Keenadu در برنامه‌های اصلی سیستم مانند سرویس‌های تشخیص چهره و لانچرها تعبیه شده است. تاکتیک‌های مشابهی قبلاً با Dwphon مرتبط بودند که مکانیسم‌های به‌روزرسانی OTA را هدف قرار می‌دادند.

یکی دیگر از روش‌های مشاهده‌شده شامل عملیات در سیستم‌هایی است که از قبل توسط یک درِ پشتیِ از پیش نصب‌شده‌ی جداگانه شبیه به BADBOX به خطر افتاده‌اند. همپوشانی‌های زیرساختی نیز بین Triada و BADBOX شناسایی شده است که نشان‌دهنده‌ی همکاری بات‌نت است. در مارس ۲۰۲۵، ارتباطات بیشتری بین BADBOX و Vo1d پدیدار شد که دستگاه‌های تلویزیون اندرویدِ غیربرند را هدف قرار می‌داد.

Keenadu همچنین از طریق برنامه‌های دوربین هوشمند آلوده به تروجان که توسط شرکت فناوری Hangzhou Denghong در گوگل پلی منتشر شده‌اند، توزیع شده است. برنامه‌های آسیب‌دیده عبارتند از:

  • Eoolii (com.taismart.global) - بیش از ۱۰۰۰۰۰ دانلود
  • زییکام (com.ziicam.aws) - بیش از ۱۰۰۰۰۰ دانلود
  • Eyeplus – خانه شما در چشمان شما (com.closeli.eyeplus) – بیش از ۱۰۰۰۰۰ دانلود

این برنامه‌ها از آن زمان از گوگل پلی حذف شده‌اند. نسخه‌های معادل آن نیز در فروشگاه اپل اپ منتشر شده‌اند؛ با این حال، نسخه‌های iOS حاوی کد مخرب نبودند و این نتیجه‌گیری را تقویت می‌کند که Keenadu به طور خاص برای هدف قرار دادن تبلت‌های اندرویدی طراحی شده است.

پیامدهای امنیتی: تهدیدی برای مدل اعتماد اصلی اندروید

Keenadu به دلیل ادغامش در libandroid_runtime.so که به آن اجازه می‌دهد در چارچوب هر برنامه‌ای عمل کند، یک تهدید جدی محسوب می‌شود. این امر به طور مؤثر مدل sandboxing اندروید را تضعیف می‌کند و دسترسی پنهانی به تمام داده‌های دستگاه را فراهم می‌کند.

توانایی آن در دور زدن کنترل‌های مجوز استاندارد، بدافزار را به یک در پشتی تمام‌عیار با اختیارات نامحدود در سطح سیستم تبدیل می‌کند. پیچیدگی پیاده‌سازی، تخصص پیشرفته در معماری اندروید، مدیریت چرخه عمر برنامه و سازوکارهای امنیتی اصلی را نشان می‌دهد.

Keenadu به عنوان یک پلتفرم بدافزاری در مقیاس بزرگ و بسیار پیچیده که قادر به ارائه کنترل مداوم و سازگار بر روی دستگاه‌های آسیب‌دیده است، برجسته است. اگرچه در حال حاضر عمدتاً برای کلاهبرداری تبلیغاتی مورد استفاده قرار می‌گیرد، اما عمق معماری آن نشان دهنده خطر قابل توجهی برای تشدید سرقت اعتبارنامه‌ها و عملیات گسترده‌تر جرایم سایبری است.

پرطرفدار

Kravonexta.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
احتیاط مداوم هنگام مرور وب بسیار مهم است، زیرا هر صفحه‌ای که با آن مواجه می‌شوید، قانونی یا بی‌ضرر نیست. وب‌سایت‌های جعلی به‌طور خاص برای سوءاستفاده از اعتماد و بی‌توجهی طراحی شده‌اند و اغلب به...

کلاهبرداری ایمیلی انتقال وجه به حساب بانکی CIMB

فیشینگ, هرزنامه
ایمیل‌های غیرمنتظره‌ای که ادعا می‌کنند شامل تراکنش‌های مالی هستند، نیاز به احتیاط بیشتری دارند، زیرا اغلب برای فریب دادن گیرندگان و وادار کردن آنها به انجام اشتباهات پرهزینه استفاده می‌شوند. هوشیاری در مواجهه با پیام‌های ناخواسته بسیار مهم است، به خصوص زمانی که کاربران را برای بررسی پرداخت‌ها یا تأیید حساب‌ها تحت فشار قرار می‌دهند. ایمیل‌های «بانک CIMB - انتقال به حساب شما» کاملاً در این دسته...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
25,820
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...