Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Porta sul retro di Keenadu

Porta sul retro di Keenadu

Entro Mezo nel Malware per dispositivi mobili, Porte sul retro
Traduci in:

È stata identificata una sofisticata backdoor Android, nota come Keenadu, integrata nel firmware del dispositivo, che consente la raccolta silenziosa di dati e il controllo remoto dei sistemi infetti. I ricercatori di sicurezza hanno scoperto la minaccia nel firmware collegato a diversi fornitori, tra cui Alldocube, con prove che dimostrano che la compromissione è avvenuta durante la fase di build del firmware. Keenadu è presente nel firmware dell'Alldocube iPlay 50 mini Pro almeno dal 18 agosto 2023.

In ogni caso confermato, il codice dannoso risiedeva all'interno di immagini firmware di tablet dotate di firme digitali valide, aumentando la probabilità di compromissione della supply chain. Alcuni pacchetti firmware infetti venivano distribuiti tramite aggiornamenti over-the-air (OTA). Una volta installata, la backdoor si inietta nella memoria di ogni applicazione all'avvio, operando come un caricatore multistadio che garantisce agli aggressori un controllo remoto illimitato sul dispositivo.

La telemetria indica che 13.715 utenti in tutto il mondo hanno riscontrato Keenadu o i suoi moduli associati. La più alta concentrazione di infezioni è stata osservata in Russia, Giappone, Germania, Brasile e Paesi Bassi.

Manipolazione profonda del sistema: sfruttamento dei processi principali di Android

Keenadu è stato reso pubblico alla fine di dicembre 2025 e descritto come una backdoor impiantata all'interno di libandroid_runtime.so, una libreria condivisa critica caricata durante il processo di avvio di Android. Una volta attivo, il malware si inietta nel processo Zygote, un comportamento precedentemente osservato nel malware Android Triada.

La routine dannosa viene attivata tramite una funzione inserita in libandroid_runtime.so. Innanzitutto, verifica se è in esecuzione all'interno di applicazioni di sistema associate ai servizi Google o a operatori di telefonia mobile come Sprint e T-Mobile; in tal caso, l'esecuzione viene interrotta. Un kill switch integrato arresta inoltre il malware quando vengono rilevati nomi di file specifici nelle directory di sistema.

La backdoor verifica quindi se sta operando all'interno del processo privilegiato system_server, che gestisce le funzionalità principali del sistema e viene avviato da Zygote all'avvio. A seconda dell'ambiente, il malware inizializza uno dei due componenti:

  • AKServer, che contiene il motore logico e di esecuzione di comando e controllo (C2) di base
  • AKClient, che viene iniettato in ogni applicazione avviata e funge da ponte di comunicazione con AKServer

Questa architettura consente agli aggressori di adattare payload dannosi ad applicazioni specifiche. Il componente server può concedere o revocare autorizzazioni alle app, recuperare dati di geolocalizzazione ed esfiltrare informazioni sul dispositivo. Ulteriori misure di sicurezza garantiscono che il malware venga interrotto se la lingua del dispositivo è impostata sul cinese all'interno di un fuso orario cinese o se il Google Play Store o i Google Play Services sono assenti.

Una volta soddisfatti i criteri operativi, Keenadu decifra il suo indirizzo C2 e trasmette i metadati crittografati del dispositivo. Il server risponde con una configurazione JSON crittografata che descrive i payload disponibili. Per eludere il rilevamento e complicare l'analisi, la backdoor ritarda la consegna del payload di circa due mesi e mezzo dopo il check-in iniziale del dispositivo. Gli aggressori si affidano ad Alibaba Cloud come infrastruttura per la distribuzione dei contenuti.

Moduli dannosi: monetizzazione, dirottamento e frode pubblicitaria

Keenadu funziona come una piattaforma modulare anti-malware in grado di implementare diversi componenti specializzati. I moduli identificati includono:

  • Keenadu Loader prende di mira piattaforme di e-commerce popolari come Amazon, Shein e Temu, consentendo potenzialmente la manipolazione non autorizzata del carrello.
  • Clicker Loader viene iniettato in applicazioni come YouTube, Facebook, Google Digital Wellbeing e nel launcher del sistema Android per interagire in modo fraudolento con elementi pubblicitari.
  • Modulo di Google Chrome che prende di mira Google Chrome per dirottare le query di ricerca e reindirizzarle verso motori di ricerca alternativi, anche se le selezioni di completamento automatico possono talvolta interrompere il tentativo di dirottamento.
  • Nova Clicker, integrato nel selettore di sfondi del sistema, sfrutta l'apprendimento automatico e WebRTC per interagire con i contenuti pubblicitari. Questo componente è stato precedentemente analizzato con il nome in codice Phantom da Doctor Web.
  • Installa il modulo di monetizzazione, integrato nel launcher del sistema, per generare entrate pubblicitarie fraudolente attribuendo erroneamente le installazioni delle applicazioni.
  • Modulo Google Play, che recupera l'ID pubblicitario di Google Ads e lo memorizza nella chiave 'S_GA_ID3' per il monitoraggio tra moduli e l'identificazione delle vittime.

Sebbene l'attenzione operativa attuale sia incentrata sulle frodi pubblicitarie, la flessibilità del framework presenta un potenziale significativo per il furto di credenziali e l'espansione delle operazioni dannose in futuro.

Espansione dei canali di distribuzione e dei collegamenti dell’ecosistema

Oltre all'impianto a livello di firmware, sono stati osservati ulteriori vettori di distribuzione. Il loader Keenadu è stato integrato in applicazioni di sistema fondamentali come servizi di riconoscimento facciale e launcher. Tattiche simili erano state precedentemente associate a Dwphon, che prendeva di mira i meccanismi di aggiornamento OTA.

Un altro metodo osservato prevede l'operazione all'interno di sistemi già compromessi da una backdoor preinstallata separata simile a BADBOX. Sono state inoltre identificate sovrapposizioni infrastrutturali tra Triada e BADBOX, suggerendo una collaborazione tra botnet. Nel marzo 2025, sono emerse ulteriori connessioni tra BADBOX e Vo1d, che hanno preso di mira dispositivi Android TV di terze parti.

Keenadu è stato distribuito anche tramite applicazioni per smart camera trojanizzate pubblicate su Google Play da Hangzhou Denghong Technology Co., Ltd. Tra le applicazioni interessate figurano:

  • Eoolii (com.taismart.global) – oltre 100.000 download
  • Ziicam (com.ziicam.aws) – oltre 100.000 download
  • Eyeplus – La tua casa nei tuoi occhi (com.closeli.eyeplus) – oltre 100.000 download

Queste applicazioni sono state successivamente rimosse da Google Play. Versioni equivalenti sono state pubblicate anche sull'App Store di Apple; tuttavia, le varianti iOS non contenevano codice dannoso, rafforzando la conclusione che Keenadu sia specificamente progettato per colpire i tablet Android.

Implicazioni sulla sicurezza: una minaccia al modello di fiducia fondamentale di Android

Keenadu rappresenta una grave minaccia a causa della sua integrazione in libandroid_runtime.so, che gli consente di operare nel contesto di ogni applicazione. Questo indebolisce di fatto il modello sandbox di Android e fornisce un accesso occulto a tutti i dati del dispositivo.

La sua capacità di aggirare i controlli di autorizzazione standard trasforma il malware in una backdoor a tutti gli effetti, con autorità illimitata a livello di sistema. La sofisticatezza dell'implementazione dimostra una competenza avanzata nell'architettura Android, nella gestione del ciclo di vita delle applicazioni e nei meccanismi di sicurezza fondamentali.

Keenadu si distingue come una piattaforma malware su larga scala e altamente complessa, in grado di fornire un controllo persistente e adattabile sui dispositivi compromessi. Sebbene attualmente sfruttata principalmente per frodi pubblicitarie, la sua profondità architetturale suggerisce un rischio credibile di escalation verso il furto di credenziali e operazioni di criminalità informatica più ampie.

Tendenza

I più visti

Caricamento in corso...