Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma Keenadu Backdoor

Keenadu Backdoor

Vuonna Mezo vuonna Mobiili haittaohjelma, Takaovet
Käännä:

Hienostunut Android-takaovi nimeltä Keenadu on tunnistettu laitteen laiteohjelmistosta. Se mahdollistaa hiljaisen tiedonkeruun ja tartunnan saaneiden järjestelmien etähallinnan. Tietoturvatutkijat paljastivat uhan useiden toimittajien, kuten Alldocuben, laiteohjelmistoista. Todisteet osoittavat, että tietomurto tapahtui laiteohjelmiston rakennusvaiheessa. Keenadu on ollut Alldocube iPlay 50 mini Pron laiteohjelmistossa ainakin 18. elokuuta 2023 lähtien.

Jokaisessa vahvistetussa tapauksessa haitallinen koodi sijaitsi tabletin laiteohjelmistokuvissa, joissa oli voimassa olevat digitaaliset allekirjoitukset, mikä vahvisti toimitusketjun vaarantumisen todennäköisyyttä. Jotkin tartunnan saaneet laiteohjelmistopaketit jaettiin OTA-päivitysten kautta. Asennuksen jälkeen takaovi tunkeutuu jokaisen sovelluksen muistiin käynnistyksen yhteydessä ja toimii monivaiheisena lataajana, joka antaa hyökkääjille rajoittamattoman etähallinnan laitteeseen.

Telemetrian mukaan 13 715 käyttäjää maailmanlaajuisesti on törmännyt Keenaduun tai siihen liittyviin moduuleihin. Tartuntojen määrä on korkein Venäjällä, Japanissa, Saksassa, Brasiliassa ja Alankomaissa.

Syvä järjestelmän manipulointi: Ydin-Android-prosessien hyödyntäminen

Keenadu paljastettiin julkisesti joulukuun lopulla 2025, ja sitä kuvailtiin libandroid_runtime.so-kirjastoon istutetuksi takaportiksi. Libandroid on kriittinen jaettu kirjasto, joka ladataan Androidin käynnistysprosessin aikana. Aktivoituessaan haittaohjelma tunkeutuu Zygote-prosessiin. Toimintaa on aiemmin havaittu Android-haittaohjelmassa Triada.

Haitallinen rutiini käynnistetään libandroid_runtime.so-tiedostoon lisätyn funktion kautta. Se tarkistaa ensin, suoritetaanko sitä Googlen palveluihin tai mobiilioperaattoreihin, kuten Sprintiin ja T-Mobileen, liittyvien järjestelmäsovellusten sisällä. Jos näin on, suoritus keskeytetään. Sisäänrakennettu kill switch pysäyttää haittaohjelman myös, kun järjestelmähakemistoissa havaitaan tiettyjä tiedostonimiä.

Takaovi tarkistaa sitten, toimiiko se etuoikeutetun system_server-prosessin sisällä, joka hallitsee järjestelmän ydintoimintoja ja jonka Zygote käynnistää käynnistyksen aikana. Ympäristöstä riippuen haittaohjelma alustaa toisen kahdesta komponentista:

  • AKServer, joka sisältää ydinkomento- ja ohjauslogiikan (C2) ja suoritusmoottorin
  • AKClient, joka ruiskutetaan jokaiseen käynnistettyyn sovellukseen ja toimii kommunikaatiosiltana AKServeriin

Tämä arkkitehtuuri mahdollistaa hyökkääjien räätälöidä haitallisia hyötykuormia tietyille sovelluksille. Palvelinkomponentti voi myöntää tai peruuttaa sovellusten käyttöoikeuksia, hakea geolokaatiotietoja ja vuotaa laitetietoja. Lisäsuojatoimet varmistavat, että haittaohjelma sulkeutuu, jos laitteen kieleksi on asetettu kiina Kiinan aikavyöhykkeellä tai jos Google Play Kauppa tai Google Play Palvelut eivät ole käytettävissä.

Täyttäessään toimintakriteerit Keenadu purkaa C2-osoitteensa salauksen ja lähettää salatut laitemetatiedot. Palvelin vastaa salatulla JSON-konfiguraatiolla, jossa on yksityiskohtaiset tiedot saatavilla olevista hyötykuormista. Havaitsemisen välttämiseksi ja analyysin vaikeuttamiseksi takaovi viivästyttää hyötykuormien toimitusta noin kahdella ja puolella kuukaudella laitteen alkuperäisen kirjautumisen jälkeen. Hyökkääjät käyttävät Alibaba Cloudia sisällöntoimitusinfrastruktuurinaan.

Haitalliset moduulit: Kaupallistaminen, kaappaukset ja mainospetokset

Keenadu toimii modulaarisena haittaohjelma-alustana, joka pystyy ottamaan käyttöön erilaisia erikoistuneita komponentteja. Tunnistettuihin moduuleihin kuuluvat seuraavat:

  • Keenadu Loader kohdistaa hyökkäyksensä suosittuihin verkkokauppa-alustoihin, kuten Amazoniin, Sheiniin ja Temuun, ja mahdollistaa mahdollisesti luvattoman ostoskorin manipuloinnin.
  • Clicker Loader on upotettu sovelluksiin, kuten YouTube, Facebook, Google Digital Wellbeing ja Android-järjestelmän käynnistysohjelma, vuorovaikuttaakseen petollisesti mainoselementtien kanssa.
  • Google Chrome -moduuli, jonka tarkoituksena on kaapata Google Chrome ja ohjata ne vaihtoehtoisiin hakukoneisiin, vaikka automaattisen täydennyksen valinnat voivat joskus häiritä kaappausyritystä.
  • Järjestelmän taustakuvavalitsimeen upotettu Nova Clicker hyödyntää koneoppimista ja WebRTC:tä mainossisältöön vuorovaikutuksessa. Doctor Web analysoi tätä komponenttia aiemmin koodinimellä Phantom.
  • Asenna järjestelmän käynnistysjärjestelmään upotettu rahaksi muuttamisen moduuli, joka tuottaa vilpillisiä mainostuloja kohdistamalla sovellusasennuksia väärin.
  • Google Play -moduuli, joka hakee Google Ads -mainostunnuksen ja tallentaa sen avaimeen 'S_GA_ID3' moduulien välistä seurantaa ja uhrien tunnistamista varten.

Vaikka nykyinen toiminnan painopiste on mainospetoksissa, viitekehyksen joustavuus tarjoaa merkittävän potentiaalin tunnistetietojen varastamiseen ja haitallisten operaatioiden laajentumiseen tulevaisuudessa.

Jakelukanavien ja ekosysteemiyhteyksien laajentaminen

Laiteohjelmistotason asennuksen lisäksi on havaittu muita levitysvektoreita. Keenadu-lataaja on upotettu ydinjärjestelmän sovelluksiin, kuten kasvojentunnistuspalveluihin ja kantoraketteihin. Samanlaisia taktiikoita käytettiin aiemmin Dwphonin kanssa, joka kohdisti hyökkäykset OTA-päivitysmekanismeihin.

Toinen havaittu menetelmä sisältää toiminnan järjestelmissä, jotka on jo vaarannettu erillisen, esiasennetun BADBOXia muistuttavan takaportin avulla. Triadan ja BADBOXin välillä on myös havaittu infrastruktuurin päällekkäisyyksiä, mikä viittaa bottiverkkojen yhteistyöhön. Maaliskuussa 2025 BADBOXin ja Vo1d:n välille ilmeni lisää yhteyksiä, jotka kohdistivat hyökkäykset muiden kuin tuotemerkkien Android TV -laitteisiin.

Keenadua on levitetty myös Hangzhou Denghong Technology Co., Ltd:n Google Playssa julkaisemien troijalaisten älykamerasovellusten kautta. Vaikutusalueen piiriin kuuluivat:

  • Eoolii (com.taismart.global) – yli 100 000 latausta
  • Ziicam (com.ziicam.aws) – yli 100 000 latausta
  • Eyeplus – Kotisi silmissäsi (com.closeli.eyeplus) – yli 100 000 latausta

Nämä sovellukset on sittemmin poistettu Google Playsta. Vastaavia versioita julkaistiin myös Apple App Storessa; iOS-versiot eivät kuitenkaan sisältäneet haitallista koodia, mikä vahvistaa päätelmää, että Keenadu on suunniteltu erityisesti Android-tabletteja varten.

Tietoturvavaikutukset: Uhka Androidin ydinluottamusmallille

Keenadu on vakava uhka, koska se on integroitu libandroid_runtime.so-tiedostoon, minkä ansiosta se voi toimia jokaisen sovelluksen kontekstissa. Tämä heikentää tehokkaasti Androidin hiekkalaatikkomallia ja tarjoaa salaisen pääsyn kaikkiin laitetietoihin.

Sen kyky ohittaa normaalit käyttöoikeusrajoitukset muuttaa haittaohjelman täysimittaiseksi takaportiksi, jolla on rajoittamattomat järjestelmätason valtuudet. Toteutuksen hienostuneisuus osoittaa edistynyttä asiantuntemusta Android-arkkitehtuurissa, sovellusten elinkaaren hallinnassa ja keskeisissä tietoturvamekanismeissa.

Keenadu erottuu laajamittaisena ja erittäin monimutkaisena haittaohjelma-alustana, joka kykenee tarjoamaan pysyvän ja mukautuvan hallinnan vaarantuneille laitteille. Vaikka sitä käytetään tällä hetkellä pääasiassa mainospetoksiin, sen arkkitehtuurin syvyys viittaa uskottavaan riskiin valtuustietovarkauksien ja laajempien kyberrikollisten toiminnan eskaloitumisesta.

Trendaavat

CIMB Bank - Sähköpostisiirto tilillesi -huijaus

Tietojenkalastelu, Roskaposti
Odottamattomat sähköpostit, jotka väittävät liittyvänsä rahoitustapahtumiin, vaativat erityistä varovaisuutta, sillä niitä käytetään usein vastaanottajien manipulointiin tekemään kalliita virheitä. Valppaana pysyminen ei-toivottujen viestien käsittelyssä on ratkaisevan tärkeää, erityisesti silloin, kun ne painostavat käyttäjiä tarkistamaan maksuja tai vahvistamaan tilejä. "CIMB Bank – Siirto...

Eniten katsottu

Ladataan...