Keenadu Backdoor

Keenadu라는 정교한 안드로이드 백도어가 기기 펌웨어 깊숙이 숨겨져 있는 것이 발견되었습니다. 이 백도어는 사용자가 몰래 데이터를 수집하고 감염된 시스템을 원격으로 제어할 수 있도록 합니다. 보안 연구원들은 Alldocube를 포함한 여러 제조사의 펌웨어에서 이 위협을 발견했으며, 펌웨어 빌드 단계에서 감염이 발생했다는 증거를 확보했습니다. Keenadu는 적어도 2023년 8월 18일부터 Alldocube iPlay 50 mini Pro의 펌웨어에 존재해 왔습니다.

확인된 모든 사례에서 악성 코드는 유효한 디지털 서명이 있는 태블릿 펌웨어 이미지 내에 존재했으며, 이는 공급망 침해 가능성을 더욱 높여줍니다. 감염된 펌웨어 패키지 중 일부는 OTA(무선) 업데이트를 통해 배포되었습니다. 설치되면 백도어는 실행 시 모든 애플리케이션의 메모리 공간에 삽입되어 다단계 로더로 작동하며, 공격자에게 기기에 대한 무제한 원격 제어 권한을 부여합니다.

원격 측정 데이터에 따르면 전 세계적으로 13,715명의 사용자가 Keenadu 또는 관련 모듈에 노출된 것으로 나타났습니다. 감염자가 가장 많이 발생한 국가는 러시아, 일본, 독일, 브라질, 네덜란드입니다.

심층 시스템 조작: 안드로이드 핵심 프로세스 악용

Keenadu는 2025년 12월 말에 공개되었으며, 안드로이드 부팅 과정에서 로드되는 중요한 공유 라이브러리인 libandroid_runtime.so에 심어진 백도어로 설명되었습니다. 활성화되면 이 악성코드는 Zygote 프로세스에 자신을 주입하는데, 이는 이전에 안드로이드 악성코드 Triada에서 관찰된 동작과 유사합니다.

악성 루틴은 libandroid_runtime.so에 삽입된 함수를 통해 실행됩니다. 이 루틴은 먼저 Google 서비스 또는 Sprint, T-Mobile과 같은 이동통신사와 관련된 시스템 애플리케이션 내에서 실행 중인지 확인합니다. 만약 그렇다면 실행을 중단합니다. 또한, 시스템 디렉터리에서 특정 파일 이름이 감지되면 내장된 킬 스위치가 악성 프로그램을 종료합니다.

백도어는 먼저 핵심 시스템 기능을 제어하고 Zygote가 부팅 중에 실행하는 권한 있는 system_server 프로세스 내에서 작동 중인지 확인합니다. 환경에 따라 악성코드는 다음 두 가지 구성 요소 중 하나를 초기화합니다.

• AKServer는 핵심 명령 및 제어(C2) 로직과 실행 엔진을 포함하고 있습니다.
• AKClient는 실행되는 모든 애플리케이션에 주입되어 AKServer와의 통신 브리지 역할을 합니다.

이 아키텍처를 통해 공격자는 특정 애플리케이션에 맞춰 악성 페이로드를 조정할 수 있습니다. 서버 구성 요소는 앱 권한을 부여하거나 취소하고, 지리적 위치 데이터를 가져오고, 기기 정보를 유출할 수 있습니다. 추가적인 안전 장치는 기기 언어가 중국어로 설정되어 있고 중국 시간대에 있거나 Google Play 스토어 또는 Google Play 서비스가 설치되어 있지 않은 경우 악성 프로그램이 종료되도록 합니다.

Keenadu는 운영 기준을 충족하면 C2 주소를 복호화하고 암호화된 장치 메타데이터를 전송합니다. 서버는 사용 가능한 페이로드를 자세히 설명하는 암호화된 JSON 구성으로 응답합니다. 탐지를 회피하고 분석을 어렵게 하기 위해 백도어는 최초 장치 체크인 후 약 두 달 반 동안 페이로드 전송을 지연시킵니다. 공격자들은 콘텐츠 전송 인프라로 Alibaba Cloud를 사용합니다.

악성 모듈: 수익 창출, 하이재킹 및 광고 사기

Keenadu는 다양한 특수 구성 요소를 배포할 수 있는 모듈형 악성 소프트웨어 플랫폼으로 작동합니다. 확인된 모듈은 다음과 같습니다.

• Keenadu Loader는 Amazon, Shein, Temu와 같은 인기 전자상거래 플랫폼을 대상으로 하며, 무단 장바구니 조작을 가능하게 할 수 있습니다.
• 클릭커 로더는 유튜브, 페이스북, 구글 디지털 웰빙, 안드로이드 시스템 런처 등의 애플리케이션에 삽입되어 광고 요소와 부정하게 상호 작용합니다.
• 이 모듈은 Google Chrome을 대상으로 검색 쿼리를 가로채고 다른 검색 엔진으로 리디렉션하는 기능을 합니다. 자동 완성 기능으로 인해 가로채기 시도가 차단될 수도 있습니다.
• Nova Clicker는 시스템 배경화면 선택기에 내장되어 있으며 머신 러닝과 WebRTC를 활용하여 광고 콘텐츠와 상호 작용합니다. 이 구성 요소는 이전에 Doctor Web에서 Phantom이라는 코드명으로 분석된 바 있습니다.
• 시스템 실행기에 내장된 수익 창출 모듈을 설치하여 애플리케이션 설치를 잘못 귀속시켜 사기성 광고 수익을 생성합니다.
• Google Play 모듈은 Google Ads 광고 ID를 가져와 'S_GA_ID3' 키로 저장하여 모듈 간 추적 및 피해자 식별에 사용합니다.

현재 운영상의 초점은 광고 사기에 맞춰져 있지만, 이 프레임워크의 유연성으로 인해 향후 자격 증명 도용 및 악의적인 운영이 확대될 가능성이 매우 높습니다.

유통 채널 및 생태계 연결망 확장

펌웨어 수준의 삽입 외에도 추가적인 배포 경로가 확인되었습니다. 키나두 로더는 얼굴 인식 서비스 및 런처와 같은 핵심 시스템 애플리케이션 내에 내장되어 있습니다. 이와 유사한 수법은 이전에 OTA 업데이트 메커니즘을 표적으로 삼았던 드폰(Dwphon)에서도 사용되었습니다.

관찰된 또 다른 방법은 BADBOX와 유사한 별도의 사전 설치된 백도어에 의해 이미 손상된 시스템 내에서 작동하는 것입니다. Triada와 BADBOX 간에 인프라 중복도 확인되어 봇넷 협력 가능성을 시사합니다. 2025년 3월에는 BADBOX와 Vo1d 간의 추가적인 연결 고리가 드러났는데, Vo1d는 비브랜드 안드로이드 TV 기기를 표적으로 삼았습니다.

Keenadu는 Hangzhou Denghong Technology Co., Ltd.가 Google Play에 게시한 트로이목마화된 스마트 카메라 애플리케이션을 통해서도 배포되었습니다. 영향을 받은 애플리케이션은 다음과 같습니다.

• Eoolii (com.taismart.global) - 10만 회 이상 다운로드
• Ziicam (com.ziicam.aws) - 10만 회 이상 다운로드
• Eyeplus – 당신의 눈을 위한 공간 (com.closeli.eyeplus) – 10만 회 이상 다운로드

해당 애플리케이션들은 이후 구글 플레이 스토어에서 삭제되었습니다. 애플 앱 스토어에도 유사한 버전이 게시되었지만, iOS 버전에는 악성 코드가 포함되어 있지 않아 Keenadu가 안드로이드 태블릿을 표적으로 삼도록 특별히 설계되었다는 결론을 뒷받침합니다.

보안 문제: 안드로이드 핵심 신뢰 모델에 대한 위협

Keenadu는 libandroid_runtime.so에 통합되어 모든 애플리케이션의 컨텍스트 내에서 작동할 수 있기 때문에 심각한 위협입니다. 이는 안드로이드의 샌드박싱 모델을 사실상 무력화하고 모든 기기 데이터에 대한 은밀한 접근을 제공합니다.

표준 권한 제어를 우회하는 능력 덕분에 이 악성코드는 시스템 수준의 무제한 권한을 가진 완전한 백도어로 변모합니다. 정교한 구현 방식은 안드로이드 아키텍처, 애플리케이션 수명 주기 관리 및 핵심 보안 메커니즘에 대한 고도의 전문 지식을 보여줍니다.

Keenadu는 감염된 기기에 대해 지속적이고 적응력 있는 제어 권한을 제공할 수 있는 대규모의 고도로 복잡한 악성 소프트웨어 플랫폼으로 두드러집니다. 현재는 주로 광고 사기에 악용되고 있지만, 그 구조적 깊이는 자격 증명 탈취 및 더 광범위한 사이버 범죄 활동으로의 확산 위험성을 시사합니다.