Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware Keenadu Stražnja vrata

Keenadu Stražnja vrata

Do Mezo. Mobilni malware, Stražnja vrata. godine
Prevedi na:

Sofisticirani Android backdoor poznat kao Keenadu identificiran je duboko ugrađen u firmware uređaja, omogućujući tiho prikupljanje podataka i daljinsko upravljanje zaraženim sustavima. Sigurnosni istraživači otkrili su prijetnju u firmwareu povezanom s više dobavljača, uključujući Alldocube, s dokazima koji pokazuju da se kompromitacija dogodila tijekom faze izgradnje firmwarea. Keenadu je prisutan u firmwareu za Alldocube iPlay 50 mini Pro najmanje od 18. kolovoza 2023.

U svakom potvrđenom slučaju, zlonamjerni kod nalazio se unutar slika firmvera tableta koje su sadržavale valjane digitalne potpise, što je povećavalo vjerojatnost kompromitiranja lanca opskrbe. Neki zaraženi paketi firmvera distribuirani su putem bežičnih (OTA) ažuriranja. Nakon instalacije, backdoor se ubrizgava u memorijski prostor svake aplikacije prilikom pokretanja, djelujući kao višestupanjski program za učitavanje koji napadačima daje neograničenu daljinsku kontrolu nad uređajem.

Telemetrija pokazuje da je 13.715 korisnika diljem svijeta naišlo na Keenadu ili njegove povezane module. Najveća koncentracija zaraženih uočena je u Rusiji, Japanu, Njemačkoj, Brazilu i Nizozemskoj.

Duboka manipulacija sustavom: Iskorištavanje ključnih Android procesa

Keenadu je javno otkriven krajem prosinca 2025. i opisan kao stražnja vrata ugrađena unutar libandroid_runtime.so, kritične dijeljene biblioteke koja se učitava tijekom procesa pokretanja Androida. Nakon što je aktivan, zlonamjerni softver se ubrizgava u proces Zygote, ponašanje koje je prethodno uočeno kod Android zlonamjernog softvera Triada.

Zlonamjerna rutina se pokreće putem funkcije umetnute u libandroid_runtime.so. Prvo se provjerava izvršava li se unutar sistemskih aplikacija povezanih s Googleovim uslugama ili mobilnim operaterima kao što su Sprint i T-Mobile; ako je tako, izvršavanje se zaustavlja. Ugrađena funkcija kill switch također prekida zlonamjerni softver kada se u sistemskim direktorijima otkriju određena imena datoteka.

Stražnja vrata zatim provjeravaju rade li unutar privilegiranog procesa system_server, koji upravlja osnovnim funkcijama sustava i kojeg pokreće Zygote tijekom pokretanja. Ovisno o okruženju, zlonamjerni softver inicijalizira jednu od dvije komponente:

  • AKServer, koji sadrži osnovnu logiku naredbi i upravljanja (C2) i izvršni mehanizam
  • AKClient, koji se ubrizgava u svaku pokrenutu aplikaciju i djeluje kao komunikacijski most prema AKServeru

Ova arhitektura omogućuje napadačima da prilagode zlonamjerni sadržaj određenim aplikacijama. Poslužiteljska komponenta može odobriti ili opozvati dopuštenja aplikacije, dohvatiti podatke o geolokaciji i izvući informacije o uređaju. Dodatne zaštitne mjere osiguravaju da se zlonamjerni softver ukine ako je jezik uređaja postavljen na kineski unutar kineske vremenske zone ili ako Trgovina Google Play ili Usluge Google Play nisu dostupne.

Nakon što zadovolji operativne kriterije, Keenadu dešifrira svoju C2 adresu i prenosi šifrirane metapodatke uređaja. Poslužitelj odgovara šifriranom JSON konfiguracijom s detaljima dostupnih korisnih podataka. Kako bi izbjegao otkrivanje i zakomplicirao analizu, backdoor odgađa isporuku korisnog tereta otprilike dva i pol mjeseca nakon početne prijave uređaja. Napadači se oslanjaju na Alibaba Cloud kao svoju infrastrukturu za isporuku sadržaja.

Zlonamjerni moduli: monetizacija, otimanje računa i prijevara s oglasima

Keenadu funkcionira kao modularna platforma za zlonamjerni softver sposobna za implementaciju različitih specijaliziranih komponenti. Identificirani moduli uključuju sljedeće:

  • Keenadu Loader cilja popularne platforme za e-trgovinu kao što su Amazon, Shein i Temu, potencijalno omogućujući neovlaštenu manipulaciju košaricama.
  • Clicker Loader ubrizgan je u aplikacije poput YouTubea, Facebooka, Google Digital Wellbeinga i pokretača Android sustava kako bi lažno komunicirao s reklamnim elementima.
  • Google Chrome modul koji cilja Google Chrome kako bi preuzeo upite za pretraživanje i preusmjerio ih na alternativne tražilice, iako odabiri automatskog dovršavanja ponekad mogu prekinuti pokušaj preuzimanja.
  • Nova Clicker, ugrađen u alat za odabir pozadine sustava koji koristi strojno učenje i WebRTC za interakciju s reklamnim sadržajem. Ovu komponentu je prethodno analizirao Doctor Web pod kodnim nazivom Phantom.
  • Instalirajte modul za monetizaciju, ugrađen u pokretač sustava, kako biste generirali lažne prihode od oglašavanja pogrešnim pripisivanjem instalacija aplikacija.
  • Google Play modul, koji dohvaća Google Ads oglašivački ID i pohranjuje ga pod ključem 'S_GA_ID3' za praćenje među modulima i identifikaciju žrtve.

Iako je trenutni operativni fokus usmjeren na prijevaru u oglašavanju, fleksibilnost okvira predstavlja značajan potencijal za krađu vjerodajnica i proširene zlonamjerne operacije u budućnosti.

Proširenje distribucijskih kanala i veza ekosustava

Osim implantacije na razini firmvera, uočeni su i dodatni vektori distribucije. Keenadu loader ugrađen je u osnovne sistemske aplikacije kao što su usluge prepoznavanja lica i lanseri. Slične taktike su prethodno bile povezane s Dwphonom, koji je ciljao mehanizme OTA ažuriranja.

Druga uočena metoda uključuje rad unutar sustava koji su već kompromitirani zasebnim, unaprijed instaliranim backdoorom koji nalikuje BADBOXU. Preklapanja infrastrukture također su utvrđena između Triade i BADBOXA, što sugerira suradnju botneta. U ožujku 2025. pojavile su se daljnje veze između BADBOXA i Vo1da, koje su ciljale na Android TV uređaje drugih marki.

Keenadu se također distribuirao putem trojanskih aplikacija za pametne kamere koje je na Google Playu objavila tvrtka Hangzhou Denghong Technology Co., Ltd. Zahvaćene aplikacije uključivale su:

  • Eoolii (com.taismart.global) – preko 100.000 preuzimanja
  • Ziicam (com.ziicam.aws) – preko 100.000 preuzimanja
  • Eyeplus – Vaš dom u vašim očima (com.closeli.eyeplus) – preko 100.000 preuzimanja

Te su aplikacije u međuvremenu uklonjene s Google Playa. Ekvivalentne verzije objavljene su i na Apple App Storeu; međutim, iOS varijante nisu sadržavale zlonamjerni kod, što pojačava zaključak da je Keenadu posebno dizajniran za ciljanje Android tableta.

Sigurnosne implikacije: Prijetnja Androidovom Core Trust modelu

Keenadu predstavlja ozbiljnu prijetnju zbog svoje integracije unutar libandroid_runtime.so, što mu omogućuje rad unutar konteksta svake aplikacije. To učinkovito potkopava Androidov sandbox model i omogućuje tajni pristup svim podacima uređaja.

Njegova sposobnost zaobilaženja standardnih kontrola dopuštenja pretvara zlonamjerni softver u punopravni backdoor s neograničenim ovlastima na razini sustava. Sofisticiranost implementacije pokazuje naprednu stručnost u Android arhitekturi, upravljanju životnim ciklusom aplikacija i osnovnim sigurnosnim mehanizmima.

Keenadu se ističe kao velika i vrlo složena platforma za zlonamjerni softver sposobna pružiti trajnu i prilagodljivu kontrolu nad kompromitiranim uređajima. Iako se trenutno prvenstveno koristi za reklamne prijevare, njezina arhitektonska dubina sugerira vjerodostojan rizik od eskalacije prema krađi vjerodajnica i širim kibernetičkim kriminalnim operacijama.

U trendu

CIMB Bank - Prijenos na vaš račun putem e-pošte s...

Krađa identiteta, Spam
Neočekivane e-poruke koje tvrde da uključuju financijske transakcije zahtijevaju dodatni oprez, jer se često koriste za manipuliranje primateljima kako bi napravili skupe pogreške. Ostanak na oprezu pri suočavanju s neželjenim porukama ključan je, posebno kada vrše pritisak na korisnike da pregledaju plaćanja ili provjere račune. E-poruke 'CIMB Bank – Transfer na vaš račun' u potpunosti spadaju...

Nagledanije

Učitavam...