Keenadu बैकडोर

कीनाडू नामक एक परिष्कृत एंड्रॉइड बैकडोर को डिवाइस फर्मवेयर में गहराई से एम्बेडेड पाया गया है, जो संक्रमित सिस्टमों से चुपचाप डेटा एकत्र करने और उन्हें दूरस्थ रूप से नियंत्रित करने में सक्षम बनाता है। सुरक्षा शोधकर्ताओं ने कई विक्रेताओं, जिनमें ऑलडोक्यूब भी शामिल है, से जुड़े फर्मवेयर में इस खतरे का पता लगाया है, और सबूत बताते हैं कि फर्मवेयर निर्माण चरण के दौरान ही यह गड़बड़ी हुई थी। कीनाडू कम से कम 18 अगस्त, 2023 से ऑलडोक्यूब आईप्ले 50 मिनी प्रो के फर्मवेयर में मौजूद है।

सभी पुष्ट मामलों में, दुर्भावनापूर्ण कोड वैध डिजिटल हस्ताक्षरों वाली टैबलेट फर्मवेयर छवियों में मौजूद था, जिससे आपूर्ति श्रृंखला में सेंध लगने की संभावना और बढ़ जाती है। कुछ संक्रमित फर्मवेयर पैकेज ओवर-द-एयर (OTA) अपडेट के माध्यम से वितरित किए गए थे। एक बार इंस्टॉल होने के बाद, बैकडोर लॉन्च होते ही प्रत्येक एप्लिकेशन की मेमोरी में प्रवेश कर जाता है, और एक बहु-चरणीय लोडर के रूप में कार्य करता है जो हमलावरों को डिवाइस पर असीमित रिमोट नियंत्रण प्रदान करता है।

टेलीमेट्री से पता चलता है कि दुनिया भर में 13,715 उपयोगकर्ताओं ने कीनाडू या इसके संबंधित मॉड्यूल का सामना किया है। संक्रमण की सबसे अधिक संख्या रूस, जापान, जर्मनी, ब्राजील और नीदरलैंड में देखी गई है।

डीप सिस्टम मैनिपुलेशन: कोर एंड्रॉइड प्रक्रियाओं का शोषण

कीनाडू को दिसंबर 2025 के अंत में सार्वजनिक रूप से उजागर किया गया था और इसे libandroid_runtime.so में लगाए गए एक बैकडोर के रूप में वर्णित किया गया था, जो एंड्रॉइड बूट प्रक्रिया के दौरान लोड होने वाली एक महत्वपूर्ण साझा लाइब्रेरी है। सक्रिय होने पर, यह मैलवेयर खुद को ज़ाइगोट प्रक्रिया में इंजेक्ट कर देता है, ऐसा व्यवहार पहले एंड्रॉइड मैलवेयर ट्रायडा में देखा गया था।

यह दुर्भावनापूर्ण प्रक्रिया libandroid_runtime.so में डाली गई एक फ़ंक्शन के माध्यम से सक्रिय होती है। यह सबसे पहले यह सत्यापित करती है कि क्या यह Google सेवाओं या स्प्रिंट और टी-मोबाइल जैसे मोबाइल प्रदाताओं से जुड़े सिस्टम एप्लिकेशन के भीतर चल रही है; यदि ऐसा है, तो इसका निष्पादन रोक दिया जाता है। सिस्टम निर्देशिकाओं में विशिष्ट फ़ाइल नामों का पता चलने पर एक अंतर्निहित किल स्विच भी मैलवेयर को समाप्त कर देता है।

इसके बाद बैकडोर यह जांचता है कि क्या यह विशेषाधिकार प्राप्त system_server प्रक्रिया के भीतर काम कर रहा है, जो मुख्य सिस्टम कार्यक्षमता को नियंत्रित करता है और बूट के दौरान Zygote द्वारा लॉन्च किया जाता है। वातावरण के आधार पर, मैलवेयर दो घटकों में से एक को आरंभ करता है:

• AKServer, जिसमें कोर कमांड-एंड-कंट्रोल (C2) लॉजिक और निष्पादन इंजन शामिल हैं।
• AKClient, जिसे प्रत्येक लॉन्च किए गए एप्लिकेशन में इंजेक्ट किया जाता है और AKServer के साथ संचार सेतु के रूप में कार्य करता है।

यह आर्किटेक्चर हमलावरों को विशिष्ट एप्लिकेशन के लिए दुर्भावनापूर्ण पेलोड तैयार करने की अनुमति देता है। सर्वर घटक ऐप की अनुमतियाँ प्रदान या रद्द कर सकता है, भौगोलिक स्थान डेटा प्राप्त कर सकता है और डिवाइस की जानकारी चुरा सकता है। अतिरिक्त सुरक्षा उपाय यह सुनिश्चित करते हैं कि यदि डिवाइस की भाषा चीनी समय क्षेत्र में चीनी भाषा में सेट है, या यदि Google Play Store या Google Play Services मौजूद नहीं हैं, तो मैलवेयर समाप्त हो जाए।

परिचालन संबंधी मानदंडों को पूरा करने पर, कीनाडू अपने C2 पते को डिक्रिप्ट करता है और एन्क्रिप्टेड डिवाइस मेटाडेटा भेजता है। सर्वर उपलब्ध पेलोड का विवरण देते हुए एक एन्क्रिप्टेड JSON कॉन्फ़िगरेशन के साथ प्रतिक्रिया करता है। पता लगने से बचने और विश्लेषण को जटिल बनाने के लिए, बैकडोर प्रारंभिक डिवाइस चेक-इन के लगभग ढाई महीने बाद पेलोड डिलीवरी में देरी करता है। हमलावर अपनी सामग्री वितरण अवसंरचना के रूप में अलीबाबा क्लाउड पर निर्भर हैं।

दुर्भावनापूर्ण मॉड्यूल: मुद्रीकरण, अपहरण और विज्ञापन धोखाधड़ी

कीनाडू एक मॉड्यूलर मैलवेयर प्लेटफॉर्म के रूप में कार्य करता है जो विभिन्न विशिष्ट घटकों को तैनात करने में सक्षम है। पहचाने गए मॉड्यूल में निम्नलिखित शामिल हैं:

• कीनाडू लोडर अमेज़ॅन, शीन और टेमू जैसे लोकप्रिय ई-कॉमर्स प्लेटफार्मों को लक्षित कर रहा है, जिससे अनधिकृत कार्ट हेरफेर संभव हो सकता है।
• क्लिकर लोडर को यूट्यूब, फेसबुक, गूगल डिजिटल वेलबीइंग और एंड्रॉइड सिस्टम लॉन्चर जैसे एप्लिकेशन में इंजेक्ट किया जाता है ताकि विज्ञापन तत्वों के साथ धोखाधड़ी से इंटरैक्ट किया जा सके।
• गूगल क्रोम को लक्षित करने वाला गूगल क्रोम मॉड्यूल, खोज प्रश्नों को हाईजैक करके उन्हें वैकल्पिक खोज इंजनों पर पुनर्निर्देशित करता है, हालांकि ऑटो-कंप्लीट विकल्प कभी-कभी हाईजैकिंग के प्रयास को बाधित कर सकते हैं।
• नोवा क्लिकर, सिस्टम वॉलपेपर पिकर में अंतर्निहित है और विज्ञापन सामग्री के साथ इंटरैक्ट करने के लिए मशीन लर्निंग और वेबआरटीसी का उपयोग करता है। इस घटक का विश्लेषण पहले डॉक्टर वेब द्वारा फैंटम कोडनेम के तहत किया गया था।
• एप्लिकेशन इंस्टॉल को गलत तरीके से दर्शाकर धोखाधड़ीपूर्ण विज्ञापन राजस्व उत्पन्न करने के लिए सिस्टम लॉन्चर में अंतर्निहित मोनेटाइजेशन मॉड्यूल इंस्टॉल करें।
• गूगल प्ले मॉड्यूल, जो गूगल एड्स विज्ञापन आईडी को पुनः प्राप्त करता है और इसे क्रॉस-मॉड्यूल ट्रैकिंग और पीड़ित की पहचान के लिए 'S_GA_ID3' कुंजी के तहत संग्रहीत करता है।

हालांकि वर्तमान परिचालन का मुख्य ध्यान विज्ञापन धोखाधड़ी पर केंद्रित है, लेकिन इस ढांचे की लचीलता भविष्य में क्रेडेंशियल चोरी और दुर्भावनापूर्ण गतिविधियों के विस्तार की महत्वपूर्ण संभावना प्रस्तुत करती है।

वितरण चैनलों और पारिस्थितिकी तंत्र संबंधों का विस्तार

फर्मवेयर स्तर पर इसके प्रसार के अलावा, अतिरिक्त वितरण माध्यम भी देखे गए हैं। कीनाडू लोडर को चेहरे की पहचान सेवाओं और लॉन्चरों जैसे मुख्य सिस्टम अनुप्रयोगों में एम्बेड किया गया है। इसी तरह की रणनीति पहले ड्वफोन से जुड़ी थी, जिसने ओटीए अपडेट तंत्रों को निशाना बनाया था।

एक अन्य देखी गई विधि में उन प्रणालियों के भीतर संचालन शामिल है जो पहले से ही BADBOX से मिलते-जुलते एक अलग पूर्व-स्थापित बैकडोर द्वारा प्रभावित हैं। Triada और BADBOX के बीच बुनियादी ढांचे में समानताएं भी पाई गई हैं, जो बॉटनेट सहयोग का संकेत देती हैं। मार्च 2025 में, BADBOX और Vo1d के बीच और भी संबंध सामने आए, जिसने गैर-ब्रांडेड एंड्रॉइड टीवी उपकरणों को निशाना बनाया।

कीनाडू को हांग्जो डेंगहोंग टेक्नोलॉजी कंपनी लिमिटेड द्वारा गूगल प्ले पर प्रकाशित ट्रोजन युक्त स्मार्ट कैमरा एप्लिकेशन के माध्यम से भी वितरित किया गया है। प्रभावित एप्लिकेशन में निम्नलिखित शामिल हैं:

• Eoolii (com.taismart.global) – 100,000 से अधिक डाउनलोड
• Ziicam (com.ziicam.aws) – 100,000 से अधिक डाउनलोड
• आईप्लस – आपकी आंखों में आपका घर (com.closeli.eyeplus) – 100,000 से अधिक डाउनलोड

इन एप्लिकेशन को बाद में Google Play से हटा दिया गया। इनके समकक्ष संस्करण Apple App Store पर भी प्रकाशित किए गए थे; हालांकि, iOS संस्करणों में कोई दुर्भावनापूर्ण कोड नहीं था, जिससे यह निष्कर्ष पुष्ट होता है कि Keenadu को विशेष रूप से Android टैबलेट को निशाना बनाने के लिए डिज़ाइन किया गया है।

सुरक्षा संबंधी निहितार्थ: एंड्रॉइड के मूल विश्वास मॉडल के लिए एक खतरा

Keenadu libandroid_runtime.so में एकीकृत होने के कारण एक गंभीर खतरा पैदा करता है, जिससे यह हर एप्लिकेशन के संदर्भ में काम कर सकता है। यह प्रभावी रूप से एंड्रॉइड के सैंडबॉक्सिंग मॉडल को कमजोर करता है और डिवाइस के सभी डेटा तक गुप्त पहुंच प्रदान करता है।

मानक अनुमति नियंत्रणों को दरकिनार करने की इसकी क्षमता मैलवेयर को असीमित सिस्टम-स्तरीय अधिकार प्राप्त एक पूर्ण विकसित बैकडोर में बदल देती है। इसके कार्यान्वयन की जटिलता एंड्रॉइड आर्किटेक्चर, एप्लिकेशन लाइफसाइकिल प्रबंधन और मुख्य सुरक्षा तंत्रों में उन्नत विशेषज्ञता को दर्शाती है।

कीनाडू एक व्यापक और अत्यंत जटिल मैलवेयर प्लेटफॉर्म है जो प्रभावित उपकरणों पर निरंतर और अनुकूलनीय नियंत्रण प्रदान करने में सक्षम है। हालांकि वर्तमान में इसका उपयोग मुख्य रूप से विज्ञापन धोखाधड़ी के लिए किया जाता है, लेकिन इसकी संरचनात्मक गहराई क्रेडेंशियल चोरी और व्यापक साइबर आपराधिक गतिविधियों की ओर बढ़ने के गंभीर जोखिम को दर्शाती है।