Keenadu Backdoor

דלת אחורית מתוחכמת לאנדרואיד המכונה Keenadu זוהתה כשהיא מוטמעת עמוק בקושחת המכשיר, ומאפשרת איסוף נתונים שקט ושליטה מרחוק במערכות נגועות. חוקרי אבטחה חשפו את האיום בקושחה המקושרת למספר ספקים, כולל Alldocube, עם ראיות המצביעות על כך שהפריצה התרחשה במהלך שלב בניית הקושחה. Keenadu נמצאת בקושחה עבור Alldocube iPlay 50 mini Pro לפחות מאז 18 באוגוסט 2023.

בכל מקרה שאושר, הקוד הזדוני שכן בתוך תמונות קושחה של טאבלט שנשאו חתימות דיגיטליות תקפות, מה שחיזק את הסבירות לפגיעה בשרשרת האספקה. חלק מחבילות הקושחה הנגועות הופצו באמצעות עדכוני Over-the-Air (OTA). לאחר ההתקנה, הדלת האחורית מזריקה את עצמה לזיכרון של כל יישום בעת ההפעלה, ופועלת כטוען רב-שלבי המעניק לתוקפים שליטה מרחוק בלתי מוגבלת על המכשיר.

טלמטריה מצביעה על כך ש-13,715 משתמשים ברחבי העולם נתקלו ב-Keenadu או במודולים הקשורים אליו. הריכוז הגבוה ביותר של זיהומים נצפה ברוסיה, יפן, גרמניה, ברזיל והולנד.

מניפולציה עמוקה של המערכת: ניצול תהליכי ליבה של אנדרואיד

קינאדו נחשף בפומבי בסוף דצמבר 2025 ותואר כדלת אחורית שהושתלה בתוך libandroid_runtime.so, ספרייה משותפת קריטית שנטענה במהלך תהליך האתחול של אנדרואיד. לאחר שהיא פעילה, הנוזקה מזריקה את עצמה לתהליך Zygote, התנהגות שנצפתה בעבר בנוזקה Triada של אנדרואיד.

השגרה הזדונית מופעלת באמצעות פונקציה המוכנסת לתוך libandroid_runtime.so. תחילה היא מאמתת האם היא פועלת בתוך יישומי מערכת הקשורים לשירותי גוגל או לספקי סלולר כמו Sprint ו-T-Mobile; אם כן, הביצוע נעצר. מתג כיבוי מובנה גם מסיים את הנוזקה כאשר מזוהים שמות קבצים ספציפיים בתיקיות המערכת.

לאחר מכן, הדלת האחורית בודקת האם היא פועלת בתוך התהליך system_server המיוחס, השולט בפונקציונליות הליבה של המערכת ומופעל על ידי Zygote במהלך האתחול. בהתאם לסביבה, התוכנה הזדונית מאתחלת אחד משני רכיבים:

• AKServer, המכיל את מנוע הלוגיקה והביצוע המרכזי של פקודה ובקרה (C2).
• AKClient, המוזרק לכל יישום המופעל ומשמש כגשר תקשורת עם AKServer

ארכיטקטורה זו מאפשרת לתוקפים להתאים מטענים זדוניים ליישומים ספציפיים. רכיב השרת יכול להעניק או לבטל הרשאות לאפליקציות, לאחזר נתוני מיקום גיאוגרפי ולגנוב מידע על המכשיר. אמצעי הגנה נוספים מבטיחים שהתוכנה הזדונית תסתיים אם שפת המכשיר מוגדרת לסינית בתוך אזור זמן סיני, או אם חנות Google Play או שירותי Google Play נעדרים.

לאחר עמידה בקריטריונים תפעוליים, Keenadu מפענחת את כתובת ה-C2 שלה ומשדרת מטא-דאטה מוצפן של המכשיר. השרת מגיב עם תצורת JSON מוצפנת המפרטת את המטענים הזמינים. כדי להימנע מגילוי ולסבך את הניתוח, הדלת האחורית מעכבת את אספקת המטענים במשך כחודשיים וחצי לאחר ביצוע הצ'ק-אין הראשוני של המכשיר. התוקפים מסתמכים על Alibaba Cloud כתשתית אספקת התוכן שלהם.

מודולים זדוניים: מונטיזציה, חטיפה והונאת פרסום

קינאדו מתפקדת כפלטפורמת תוכנות זדוניות מודולרית המסוגלת לפרוס רכיבים מיוחדים שונים. המודולים שזוהו כוללים את הבאים:

• Keenadu Loader מכוון לפלטפורמות מסחר אלקטרוני פופולריות כמו אמזון, שין ו-Temu, מה שעלול לאפשר מניפולציה בלתי מורשית של עגלות קניות.
• Clicker Loader הוזרק לאפליקציות כמו יוטיוב, פייסבוק, גוגל דיגיטל וולנס ומפעיל מערכת האנדרואיד כדי לקיים אינטראקציה הונאה עם אלמנטים פרסומיים.
• מודול גוגל כרום המכוון את גוגל כרום לחטיפת שאילתות חיפוש ולהפנות אותן למנועי חיפוש חלופיים, אם כי בחירות השלמה אוטומטית עלולות לעיתים לשבש את ניסיון החטיפה.
• Nova Clicker, מוטמע בתוך בורר טפטים של המערכת וממנף למידת מכונה ו-WebRTC כדי ליצור אינטראקציה עם תוכן פרסומי. רכיב זה נותח בעבר תחת שם הקוד Phantom על ידי Doctor Web.
• התקן מודול מונטיזציה, המוטמע במפעיל המערכת, כדי לייצר הכנסות פרסום הונאה על ידי ייחוס שגוי של התקנות אפליקציות.
• מודול Google Play, אשר מאחזר את מזהה הפרסום של Google Ads ומאחסן אותו תחת המפתח 'S_GA_ID3' לצורך מעקב בין מודולים וזיהוי קורבנות.

בעוד שההתמקדות התפעולית הנוכחית מתמקדת בהונאות פרסום, הגמישות של המסגרת מציגה פוטנציאל משמעותי לגניבת אישורים ולהרחבת פעולות זדוניות בעתיד.

הרחבת ערוצי הפצה וקשרים בין מערכות אקולוגיות

מעבר להשתלת קושחה, נצפו וקטורי הפצה נוספים. טוען Keenadu הוטמע ביישומי מערכת מרכזיים כגון שירותי זיהוי פנים ומשגרים. טקטיקות דומות נקשרו בעבר עם Dwphon, שכיוונו למנגנוני עדכון OTA.

שיטה נוספת שנצפתה כוללת פעולה בתוך מערכות שכבר נפגעו על ידי דלת אחורית נפרדת המותקנת מראש בדומה ל-BADBOX. חפיפות תשתית זוהו גם בין Triada ל-BADBOX, דבר המצביע על שיתוף פעולה בין רשתות בוט. במרץ 2025, צצו קשרים נוספים בין BADBOX ל-Vo1d, שכוונו נגד מכשירי Android TV של מותגים אחרים.

קינדו הופץ גם באמצעות אפליקציות מצלמה חכמות עם טרויאנים שפורסמו ב-Google Play על ידי Hangzhou Denghong Technology Co., Ltd. בין האפליקציות שנפגעו:

• Eoolii (com.taismart.global) – מעל 100,000 הורדות
• Ziicam (com.ziicam.aws) – מעל 100,000 הורדות
• Eyeplus – הבית שלך בעיניך (com.closeli.eyeplus) – מעל 100,000 הורדות

אפליקציות אלו הוסרו מאז מ-Google Play. גרסאות מקבילות פורסמו גם בחנות האפליקציות של אפל; עם זאת, גרסאות ה-iOS לא הכילו קוד זדוני, דבר המחזק את המסקנה ש-Keenadu תוכנן במיוחד כדי להתמקד בטאבלטים של אנדרואיד.

השלכות אבטחה: איום על מודל האמון הליבה של אנדרואיד

Keenadu מהווה איום חמור בשל שילובו בתוך libandroid_runtime.so, מה שמאפשר לו לפעול בהקשר של כל אפליקציה. זה למעשה פוגע במודל ארגז החול של אנדרואיד ומספק גישה חשאית לכל נתוני המכשיר.

יכולתה לעקוף בקרות הרשאות סטנדרטיות הופכת את הנוזקה לדלת אחורית מלאה עם סמכות בלתי מוגבלת ברמת המערכת. התחכום של המימוש מדגים מומחיות מתקדמת בארכיטקטורת אנדרואיד, ניהול מחזור חיי יישומים ומנגנוני אבטחה מרכזיים.

קינאדו בולטת כפלטפורמת תוכנות זדוניות בקנה מידה גדול ומורכבת ביותר, המסוגלת לספק שליטה מתמשכת וגמישה על מכשירים שנפגעו. למרות שכיום היא משמשת בעיקר להונאות פרסום, העומק הארכיטקטוני שלה מצביע על סיכון אמין להסלמה לעבר גניבת אישורים ופעולות פושעי סייבר רחבות יותר.