Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian Hasad Mudah Alih Pintu Belakang Keenadu

Pintu Belakang Keenadu

Menjelang Mezo pada Perisian Hasad Mudah Alih, Pintu belakang
Terjemahkan ke

Pintu belakang Android yang canggih yang dikenali sebagai Keenadu telah dikenal pasti tertanam jauh di dalam firmware peranti, membolehkan penuaian data senyap dan kawalan jauh sistem yang dijangkiti. Penyelidik keselamatan menemui ancaman dalam firmware yang dikaitkan dengan pelbagai vendor, termasuk Alldocube, dengan bukti menunjukkan pencerobohan berlaku semasa fasa pembinaan firmware. Keenadu telah hadir dalam firmware untuk Alldocube iPlay 50 mini Pro sekurang-kurangnya sejak 18 Ogos 2023.

Dalam setiap kes yang disahkan, kod berniat jahat berada dalam imej perisian tegar tablet yang membawa tandatangan digital yang sah, sekali gus mengukuhkan kemungkinan pencerobohan rantaian bekalan. Beberapa pakej perisian tegar yang dijangkiti telah diedarkan melalui kemas kini atas udara (OTA). Setelah dipasang, pintu belakang menyuntik dirinya ke dalam ruang memori setiap aplikasi semasa pelancaran, beroperasi sebagai pemuat berbilang peringkat yang memberikan penyerang kawalan jauh tanpa had ke atas peranti tersebut.

Telemetri menunjukkan bahawa 13,715 pengguna di seluruh dunia telah menemui Keenadu atau modul yang berkaitan dengannya. Kepekatan jangkitan tertinggi telah diperhatikan di Rusia, Jepun, Jerman, Brazil dan Belanda.

Manipulasi Sistem Mendalam: Mengeksploitasi Proses Teras Android

Keenadu telah didedahkan secara terbuka pada akhir Disember 2025 dan digambarkan sebagai pintu belakang yang ditanamkan dalam libanodroid_runtime.so, sebuah pustaka kongsi kritikal yang dimuatkan semasa proses but Android. Sebaik sahaja aktif, perisian hasad tersebut menyuntik dirinya ke dalam proses Zygote, tingkah laku yang sebelum ini diperhatikan dalam perisian hasad Android Triada.

Rutin berniat jahat dicetuskan melalui fungsi yang dimasukkan ke dalam libandroid_runtime.so. Ia terlebih dahulu mengesahkan sama ada ia sedang melaksanakan aplikasi sistem yang berkaitan dengan perkhidmatan Google atau pembawa mudah alih seperti Sprint dan T-Mobile; jika ya, pelaksanaan dihentikan. Suis bunuh terbina dalam juga menamatkan perisian hasad apabila nama fail tertentu dikesan dalam direktori sistem.

Pintu belakang kemudian menyemak sama ada ia beroperasi dalam proses system_server yang berprivilege, yang mengawal fungsi teras sistem dan dilancarkan oleh Zygote semasa but. Bergantung pada persekitaran, perisian hasad memulakan salah satu daripada dua komponen:

  • AKServer, yang mengandungi enjin logik dan pelaksanaan arahan dan kawalan (C2) teras
  • AKClient, yang disuntik ke dalam setiap aplikasi yang dilancarkan dan bertindak sebagai jambatan komunikasi kepada AKServer

Seni bina ini membolehkan penyerang menyesuaikan muatan berniat jahat untuk aplikasi tertentu. Komponen pelayan boleh memberikan atau membatalkan kebenaran aplikasi, mendapatkan data geolokasi dan mengeluarkan maklumat peranti. Perlindungan tambahan memastikan perisian hasad tamat jika bahasa peranti ditetapkan kepada bahasa Cina dalam zon waktu Cina atau jika Gedung Google Play atau Perkhidmatan Google Play tiada.

Setelah memenuhi kriteria operasi, Keenadu akan menyahsulit alamat C2nya dan menghantar metadata peranti yang disulitkan. Pelayan akan bertindak balas dengan konfigurasi JSON yang disulitkan yang memperincikan muatan yang tersedia. Untuk mengelakkan pengesanan dan merumitkan analisis, pintu belakang akan menangguhkan penghantaran muatan selama kira-kira dua setengah bulan selepas daftar masuk peranti awal. Penyerang bergantung pada Alibaba Cloud sebagai infrastruktur penghantaran kandungan mereka.

Modul Berniat Jahat: Pengewangan, Rampasan dan Penipuan Iklan

Keenadu berfungsi sebagai platform perisian hasad modular yang mampu menggunakan pelbagai komponen khusus. Modul yang dikenal pasti termasuk yang berikut:

  • Keenadu Loader menyasarkan platform e-dagang popular seperti Amazon, Shein dan Temu, yang berpotensi membolehkan manipulasi troli tanpa kebenaran.
  • Clicker Loader disuntik ke dalam aplikasi seperti YouTube, Facebook, Google Digital Wellbeing dan pelancar sistem Android untuk berinteraksi secara penipuan dengan elemen pengiklanan.
  • Modul Google Chrome menyasarkan Google Chrome untuk merampas pertanyaan carian dan mengalihkannya ke enjin carian alternatif, walaupun pilihan autolengkap kadangkala mungkin mengganggu percubaan rampasan.
  • Nova Clicker, dibenamkan dalam pemilih kertas dinding sistem dan memanfaatkan pembelajaran mesin dan WebRTC untuk berinteraksi dengan kandungan pengiklanan. Komponen ini sebelum ini dianalisis di bawah nama kod Phantom oleh Doctor Web.
  • Pasang Modul Pengewangan, yang dibenamkan dalam pelancar sistem untuk menjana hasil pengiklanan palsu dengan salah mengaitkan pemasangan aplikasi.
  • Modul Google Play, yang mengambil ID pengiklanan Google Ads dan menyimpannya di bawah kekunci 'S_GA_ID3' untuk penjejakan silang modul dan pengenalpastian mangsa.

Walaupun tumpuan operasi semasa tertumpu pada penipuan pengiklanan, fleksibiliti rangka kerja ini memberikan potensi yang ketara untuk kecurian kelayakan dan operasi berniat jahat yang meluas pada masa hadapan.

Memperluas Saluran Pengedaran dan Pautan Ekosistem

Selain implantasi peringkat firmware, vektor taburan tambahan telah diperhatikan. Pemuat Keenadu telah dibenamkan dalam aplikasi sistem teras seperti perkhidmatan pengecaman wajah dan pelancar. Taktik serupa sebelum ini dikaitkan dengan Dwphon, yang menyasarkan mekanisme kemas kini OTA.

Satu lagi kaedah yang diperhatikan melibatkan operasi dalam sistem yang telah dikompromi oleh pintu belakang prapasang berasingan yang menyerupai BADBOX. Pertindihan infrastruktur juga telah dikenal pasti antara Triada dan BADBOX, menunjukkan kerjasama botnet. Pada Mac 2025, sambungan selanjutnya muncul antara BADBOX dan Vo1d, yang menyasarkan peranti TV Android jenama lain.

Keenadu juga telah diedarkan melalui aplikasi kamera pintar yang ditrojankan yang diterbitkan di Google Play oleh Hangzhou Denghong Technology Co., Ltd. Aplikasi yang terjejas termasuk:

  • Eoolii (com.taismart.global) – lebih 100,000 muat turun
  • Ziicam (com.ziicam.aws) – lebih 100,000 muat turun
  • Eyeplus – Rumah anda di mata anda (com.closeli.eyeplus) – lebih 100,000 muat turun

Aplikasi-aplikasi ini telah dialih keluar daripada Google Play. Versi yang setara juga telah diterbitkan ke Apple App Store; walau bagaimanapun, varian iOS tidak mengandungi kod berniat jahat, mengukuhkan kesimpulan bahawa Keenadu direka bentuk khusus untuk menyasarkan tablet Android.

Implikasi Keselamatan: Ancaman kepada Model Kepercayaan Teras Android

Keenadu merupakan ancaman yang teruk disebabkan oleh penyepaduannya dalam libandroid_runtime.so, yang membolehkannya beroperasi dalam konteks setiap aplikasi. Ini berkesan menjejaskan model sandboxing Android dan menyediakan akses rahsia kepada semua data peranti.

Keupayaannya untuk memintas kawalan kebenaran standard mengubah perisian hasad menjadi pintu belakang sepenuhnya dengan autoriti peringkat sistem tanpa had. Kecanggihan pelaksanaan menunjukkan kepakaran lanjutan dalam seni bina Android, pengurusan kitaran hayat aplikasi dan mekanisme keselamatan teras.

Keenadu menonjol sebagai platform perisian hasad berskala besar dan sangat kompleks yang mampu memberikan kawalan berterusan dan boleh disesuaikan ke atas peranti yang diceroboh. Walaupun kini dimanfaatkan terutamanya untuk penipuan pengiklanan, kedalaman seni binanya menunjukkan risiko peningkatan yang boleh dipercayai ke arah kecurian kelayakan dan operasi jenayah siber yang lebih luas.

Trending

Paling banyak dilihat

Memuatkan...