Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program Keenadu hátsó ajtó

Keenadu hátsó ajtó

Mezo -ra Mobil rosszindulatú program, Hátsó ajtók-ben
Fordítás ide:

Egy kifinomult Android hátsó ajtót, a Keenadu-t azonosították, amely mélyen beágyazódott az eszköz firmware-jébe, lehetővé téve a csendes adatgyűjtést és a fertőzött rendszerek távoli vezérlését. Biztonsági kutatók a fenyegetést több gyártóhoz, köztük az Alldocube-hoz kapcsolódó firmware-ben fedezték fel, a bizonyítékok pedig arra utalnak, hogy a kompromittálás a firmware építési fázisában történt. A Keenadu legalább 2023. augusztus 18. óta jelen van az Alldocube iPlay 50 mini Pro firmware-jében.

Minden megerősített esetben a rosszindulatú kód érvényes digitális aláírással ellátott táblagép firmware-képekben helyezkedett el, ami megerősítette az ellátási lánc feltörésének valószínűségét. Néhány fertőzött firmware-csomagot OTA-frissítéseken keresztül terjesztettek. A telepítés után a hátsó ajtó minden alkalmazás memóriaterületébe behatol az indításkor, többlépcsős betöltőként működve, amely korlátlan távoli vezérlést biztosít a támadóknak az eszköz felett.

A telemetria adatai szerint világszerte 13 715 felhasználó találkozott a Keenaduval vagy a hozzá kapcsolódó modulokkal. A fertőzések legnagyobb koncentrációját Oroszországban, Japánban, Németországban, Brazíliában és Hollandiában figyelték meg.

Mély rendszermanipuláció: Az alapvető Android-folyamatok kihasználása

A Keenadut 2025 decemberének végén hozták nyilvánosságra, és egy hátsó ajtóként írták le, amelyet a libandroid_runtime.so-ba ültettek be. Ez egy kritikus megosztott könyvtár, amely az Android rendszerindítási folyamata során töltődik be. Aktiválás után a rosszindulatú program beágyazódik a Zygote folyamatba, ezt a viselkedést korábban a Triada Android rosszindulatú programban is megfigyelték.

A rosszindulatú rutint egy, a libandroid_runtime.so fájlba beillesztett függvény indítja el. Először ellenőrzi, hogy a Google-szolgáltatásokhoz vagy mobilszolgáltatókhoz, például a Sprinthez és a T-Mobile-hoz kapcsolódó rendszeralkalmazásokban fut-e; ha igen, a végrehajtás leáll. Egy beépített kill switch funkció szintén leállítja a rosszindulatú programot, amikor bizonyos fájlneveket észlel a rendszerkönyvtárakban.

A hátsó ajtó ezután ellenőrzi, hogy a privilegizált system_server folyamaton belül működik-e, amely a rendszer alapvető funkcióit szabályozza, és amelyet a Zygote indít el a rendszerindítás során. A környezettől függően a rosszindulatú program két komponens egyikét inicializálja:

  • AKServer, amely tartalmazza az alapvető parancs- és vezérlési (C2) logikát és végrehajtási motort
  • AKClient, amely minden elindított alkalmazásba beépül, és kommunikációs hídként működik az AKServer felé

Ez az architektúra lehetővé teszi a támadók számára, hogy a rosszindulatú csomagokat adott alkalmazásokhoz igazítsák. A szerverkomponens alkalmazásengedélyeket adhat vagy vonhat vissza, geolokációs adatokat kérhet le, és eszközinformációkat lophat. További védelmi intézkedések biztosítják, hogy a rosszindulatú program leálljon, ha az eszköz nyelve kínaira van állítva egy kínai időzónán belül, vagy ha a Google Play Áruház vagy a Google Play Szolgáltatások hiányoznak.

A működési kritériumok teljesítése után a Keenadu visszafejti a C2-címét, és titkosított eszközmetaadatokat küld. A szerver egy titkosított JSON-konfigurációval válaszol, amely részletezi az elérhető hasznos adatokat. Az észlelés elkerülése és az elemzés bonyolítása érdekében a hátsó ajtó körülbelül két és fél hónappal késlelteti a hasznos adatok kézbesítését az eszköz kezdeti bejelentkezése után. A támadók az Alibaba Cloudra támaszkodnak tartalomszolgáltatási infrastruktúráként.

Rosszindulatú modulok: Bevételszerzés, eltérítés és hirdetési csalás

A Keenadu egy moduláris kártevőplatformként működik, amely képes különféle speciális komponensek telepítésére. Az azonosított modulok a következők:

  • A Keenadu Loader olyan népszerű e-kereskedelmi platformokat céloz meg, mint az Amazon, a Shein és a Temu, és potenciálisan jogosulatlan kosármanipulációt tesz lehetővé.
  • A Clicker Loadert olyan alkalmazásokba injektálták, mint a YouTube, a Facebook, a Google Digital Wellbeing és az Android rendszerindítója, hogy csalárd módon kommunikáljon a hirdetési elemekkel.
  • Google Chrome modul, amely a Google Chrome-ot célozza meg a keresési lekérdezések eltérítésével és alternatív keresőmotorokra való átirányításával, bár az automatikus kiegészítés kiválasztása néha megzavarhatja az eltérítési kísérletet.
  • A rendszer háttérképválasztójába ágyazott Nova Clicker gépi tanulást és WebRTC-t használ a hirdetési tartalmakkal való interakcióhoz. Ezt a komponenst korábban a Doctor Web elemezte Phantom kódnév alatt.
  • Telepítse a rendszerindítóba ágyazott Monetizációs modult, hogy csalárd hirdetési bevételt generáljon az alkalmazástelepítések téves hozzárendelésével.
  • Google Play modul, amely lekéri a Google Ads hirdetésazonosítót, és az „S_GA_ID3” kulcs alatt tárolja a modulok közötti követéshez és az áldozatok azonosításához.

Míg a jelenlegi működési fókusz a reklámcsalásra összpontosul, a keretrendszer rugalmassága jelentős potenciált rejt magában a hitelesítő adatok ellopására és a jövőbeni rosszindulatú műveletek kiterjesztésére.

Az értékesítési csatornák és az ökoszisztéma-kapcsolatok bővítése

A firmware-szintű beültetésen túl további terjesztési vektorokat is megfigyeltek. A Keenadu betöltőt olyan alapvető rendszeralkalmazásokba ágyazták be, mint az arcfelismerő szolgáltatások és az indítóprogramok. Hasonló taktikákat alkalmaztak korábban a Dwphon esetében, amely az OTA frissítési mechanizmusokat vette célba.

Egy másik megfigyelt módszer a BADBOX-hoz hasonló, előre telepített hátsó ajtó által már feltört rendszereken belüli működés. Infrastrukturális átfedéseket is azonosítottak a Triada és a BADBOX között, ami botnet-együttműködésre utal. 2025 márciusában további kapcsolatok merültek fel a BADBOX és a Vo1d között, amelyek más márkájú Android TV eszközöket céloztak meg.

A Keenadut a Hangzhou Denghong Technology Co., Ltd. által a Google Playen közzétett trójai fertőzött okoskamera-alkalmazásokon keresztül is terjesztették. Az érintett alkalmazások a következők voltak:

  • Eoolii (com.taismart.global) – több mint 100 000 letöltés
  • Ziicam (com.ziicam.aws) – több mint 100 000 letöltés
  • Eyeplus – Az otthonod a szemedben (com.closeli.eyeplus) – több mint 100 000 letöltés

Ezeket az alkalmazásokat azóta eltávolították a Google Play áruházból. Az Apple App Store-ban is megjelentek hasonló verziók; az iOS-változatok azonban nem tartalmaztak kártékony kódot, ami megerősíti azt a következtetést, hogy a Keenadu kifejezetten Android-táblagépek célzására készült.

Biztonsági vonatkozások: Fenyegetés az Android alapvető megbízhatósági modelljére

A Keenadu komoly fenyegetést jelent a libandroid_runtime.so fájlba való integrációja miatt, amely lehetővé teszi számára, hogy minden alkalmazás kontextusában működjön. Ez gyakorlatilag aláássa az Android sandboxing modelljét, és titkos hozzáférést biztosít az összes eszközadathoz.

A szabványos jogosultságvezérlés megkerülésére való képessége a rosszindulatú programot teljes értékű hátsó ajtóvá alakítja, korlátlan rendszerszintű jogosultságokkal. A megvalósítás kifinomultsága az Android architektúra, az alkalmazáséletciklus-kezelés és az alapvető biztonsági mechanizmusok terén szerzett fejlett szakértelmet bizonyítja.

A Keenadu nagyméretű és rendkívül összetett kártevőplatformként tűnik ki, amely képes tartós és alkalmazkodóképes ellenőrzést biztosítani a feltört eszközök felett. Bár jelenleg elsősorban reklámcsalásra használják, architektúrájának mélysége a hitelesítő adatok ellopásának és a szélesebb körű kiberbűnözési műveleteknek a kockázatát sugallja.

Felkapott

CIMB Bank - Átutalás a számlájára e-mailben – csalás

Adathalászat, Spam
A pénzügyi tranzakciókat állítólag tartalmazó váratlan e-mailek fokozott óvatosságot igényelnek, mivel gyakran arra használják őket, hogy a címzetteket költséges hibák elkövetésére kényszerítsék. A kéretlen üzenetek kezelésekor elengedhetetlen az éberség, különösen akkor, ha ezek a felhasználókat fizetések felülvizsgálatára vagy számlák ellenőrzésére kényszerítik. A „CIMB Bank – Átutalás a...

Legnézettebb

Betöltés...