Keenadu Backdoor
Ierīces programmaparatūrā ir identificēta sarežģīta Android aizmugurējā durvju sistēma Keenadu, kas pazīstama kā Keenadu un ļauj klusi ievākt datus un attālināti vadīt inficētās sistēmas. Drošības pētnieki atklāja apdraudējumu programmaparatūrā, kas saistīta ar vairākiem pārdevējiem, tostarp Alldocube, un pierādījumi liecina, ka kompromitēšana notikusi programmaparatūras izstrādes fāzē. Keenadu ir atrodams Alldocube iPlay 50 mini Pro programmaparatūrā vismaz kopš 2023. gada 18. augusta.
Katrā apstiprinātajā gadījumā ļaunprātīgais kods atradās planšetdatora programmaparatūras attēlos ar derīgiem digitālajiem parakstiem, tādējādi palielinot piegādes ķēdes kompromitēšanas iespējamību. Dažas inficētas programmaparatūras pakotnes tika izplatītas, izmantojot bezvadu (OTA) atjauninājumus. Pēc instalēšanas aizmugurējā lūka ievada sevi katras lietojumprogrammas atmiņā palaišanas laikā, darbojoties kā daudzpakāpju ielādētājs, kas uzbrucējiem piešķir neierobežotu attālo kontroli pār ierīci.
Telemetrija liecina, ka 13 715 lietotāji visā pasaulē ir saskārušies ar Keenadu vai ar to saistītajiem moduļiem. Vislielākā infekciju koncentrācija ir novērota Krievijā, Japānā, Vācijā, Brazīlijā un Nīderlandē.
Satura rādītājs
Dziļās sistēmas manipulācijas: galveno Android procesu izmantošana
Keenadu tika publiski atklāts 2025. gada decembra beigās un aprakstīts kā aizmugurējā durvis, kas implantētas libandroid_runtime.so — kritiski svarīgā koplietojamā bibliotēkā, kas tiek ielādēta Android sāknēšanas procesa laikā. Kad tā ir aktīva, ļaunprogrammatūra iekļūst Zygote procesā — šāda uzvedība iepriekš tika novērota Android ļaunprogrammatūrā Triada.
Ļaunprātīgā rutīna tiek aktivizēta, izmantojot funkciju, kas ievietota libandroid_runtime.so failā. Vispirms tā pārbauda, vai tā tiek izpildīta sistēmas lietojumprogrammās, kas saistītas ar Google pakalpojumiem vai mobilo sakaru operatoriem, piemēram, Sprint un T-Mobile; ja tā, izpilde tiek apturēta. Iebūvētais kill switch arī pārtrauc ļaunprogrammatūras darbību, kad sistēmas direktorijos tiek atklāti konkrēti failu nosaukumi.
Pēc tam aizmugures durvis pārbauda, vai tās darbojas privileģētā system_server procesa ietvaros, kas pārvalda sistēmas pamatfunkcijas un ko Zygote palaiž sāknēšanas laikā. Atkarībā no vides ļaunprogrammatūra inicializē vienu no diviem komponentiem:
- AKServer, kas satur galveno komandu un vadības (C2) loģiku un izpildes dzinēju
- AKClient, kas tiek ievadīts katrā palaistajā lietojumprogrammā un darbojas kā saziņas tilts ar AKServer
Šī arhitektūra ļauj uzbrucējiem pielāgot ļaunprātīgu slodzi konkrētām lietojumprogrammām. Servera komponents var piešķirt vai atsaukt lietotņu atļaujas, izgūt ģeolokācijas datus un izgūt ierīces informāciju. Papildu drošības pasākumi nodrošina, ka ļaunprogrammatūra tiek pārtraukta, ja ierīces valoda ir iestatīta uz ķīniešu valodu Ķīnas laika joslā vai ja nav pieejams Google Play veikals vai Google Play pakalpojumi.
Atbilstot darbības kritērijiem, Keenadu atšifrē savu C2 adresi un pārsūta šifrētus ierīces metadatus. Serveris atbild ar šifrētu JSON konfigurāciju, kurā sīki aprakstīta pieejamā vērtuma slodze. Lai izvairītos no atklāšanas un sarežģītu analīzi, aizmugurējā durvis aizkavē vērtuma piegādi aptuveni divarpus mēnešus pēc sākotnējās ierīces reģistrācijas. Uzbrucēji kā satura piegādes infrastruktūru paļaujas uz Alibaba Cloud.
Ļaunprātīgi moduļi: monetizācija, nolaupīšana un reklāmu krāpšana
Keenadu darbojas kā modulāra ļaunprogrammatūras platforma, kas spēj izvietot dažādus specializētus komponentus. Identificētie moduļi ietver šādus:
- Keenadu Loader ir vērsts pret populārām e-komercijas platformām, piemēram, Amazon, Shein un Temu, potenciāli nodrošinot neatļautu groza manipulāciju.
- Clicker Loader tika ievadīts tādās lietotnēs kā YouTube, Facebook, Google Digital Wellbeing un Android sistēmas palaidējā, lai krāpnieciski mijiedarbotos ar reklāmas elementiem.
- Google Chrome modulis, kas paredzēts Google Chrome, lai nolaupītu meklēšanas vaicājumus un novirzītu tos uz alternatīvām meklētājprogrammām, lai gan automātiskās pabeigšanas atlases dažreiz var traucēt nolaupīšanas mēģinājumu.
- Nova Clicker, kas ir iegults sistēmas tapešu atlasītājā un izmanto mašīnmācīšanos un WebRTC, lai mijiedarbotos ar reklāmas saturu. Šo komponentu iepriekš ar segvārdu Phantom analizēja Doctor Web.
- Instalējiet sistēmas palaidējā iegulto monetizācijas moduli, lai gūtu krāpnieciskus reklāmas ieņēmumus, nepareizi attiecinot lietojumprogrammu instalēšanas gadījumus.
- Google Play modulis, kas izgūst Google Ads reklāmas ID un saglabā to zem atslēgas “S_GA_ID3”, lai veiktu starpmoduļu izsekošanu un upuru identificēšanu.
Lai gan pašreizējā operatīvā uzmanība ir pievērsta reklāmas krāpšanai, sistēmas elastība rada ievērojamu potenciālu akreditācijas datu zādzībām un ļaunprātīgu darbību paplašināšanai nākotnē.
Izplatīšanas kanālu un ekosistēmu saikņu paplašināšana
Papildus programmaparatūras līmeņa implantācijai ir novēroti papildu izplatīšanas vektori. Keenadu ielādētājs ir iestrādāts pamata sistēmas lietojumprogrammās, piemēram, sejas atpazīšanas pakalpojumos un palaišanas programmās. Līdzīga taktika iepriekš tika saistīta ar Dwphon, kas bija vērsta pret OTA atjaunināšanas mehānismiem.
Cita novērotā metode ietver darbību sistēmās, kuras jau ir kompromitētas ar atsevišķu iepriekš instalētu aizmugurējo durvju sistēmu, kas atgādina BADBOX. Ir konstatēta arī infrastruktūras pārklāšanās starp Triada un BADBOX, kas liecina par botnetu sadarbību. 2025. gada martā parādījās papildu savienojumi starp BADBOX un Vo1d, kuru mērķis bija citu zīmolu Android TV ierīces.
Keenadu ir izplatīts arī, izmantojot Hangzhou Denghong Technology Co., Ltd. publicētas Trojas zirga vīrusu iekļotas viedkameru lietotnes pakalpojumā Google Play. Starp skartajām lietotnēm bija:
- Eoolii (com.taismart.global) — vairāk nekā 100 000 lejupielāžu
- Ziicam (com.ziicam.aws) — vairāk nekā 100 000 lejupielāžu
- Eyeplus – Tavas mājas tavās acīs (com.closeli.eyeplus) – vairāk nekā 100 000 lejupielāžu
Šīs lietotnes kopš tā laika ir noņemtas no Google Play. Līdzvērtīgas versijas tika publicētas arī Apple App Store; tomēr iOS variantos nebija ļaunprātīga koda, kas apstiprina secinājumu, ka Keenadu ir īpaši izstrādāta, lai uzbruktu Android planšetdatoriem.
Drošības ietekme: drauds Android pamata uzticamības modelim
Keenadu rada nopietnu apdraudējumu, jo tas ir integrēts libandroid_runtime.so, ļaujot tam darboties katras lietojumprogrammas kontekstā. Tas efektīvi grauj Android smilškastes modeli un nodrošina slepenu piekļuvi visiem ierīces datiem.
Tā spēja apiet standarta atļauju kontroles pārveido ļaunprogrammatūru par pilnvērtīgu aizmugurējo durvju sistēmu ar neierobežotām sistēmas līmeņa pilnvarām. Ieviešanas sarežģītība apliecina padziļinātas zināšanas Android arhitektūrā, lietojumprogrammu dzīves cikla pārvaldībā un galvenajos drošības mehānismos.
Keenadu izceļas kā liela mēroga un ļoti sarežģīta ļaunprogrammatūras platforma, kas spēj nodrošināt pastāvīgu un pielāgojamu kontroli pār apdraudētām ierīcēm. Lai gan pašlaik tā galvenokārt tiek izmantota reklāmas krāpšanai, tās arhitektūras dziļums liecina par ticamu eskalācijas risku, kas noved pie akreditācijas datu zādzības un plašākām kibernoziedznieku operācijām.
