Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare Keenadu bakdør

Keenadu bakdør

Med Mezo i Mobil skadelig programvare, Bakdører
Oversett til:

En sofistikert Android-bakdør kjent som Keenadu har blitt identifisert innebygd dypt i enhetens fastvare, noe som muliggjør stille datainnsamling og fjernkontroll av infiserte systemer. Sikkerhetsforskere avdekket trusselen i fastvare knyttet til flere leverandører, inkludert Alldocube, med bevis som viser at kompromitteringen skjedde under fastvarebyggingsfasen. Keenadu har vært tilstede i fastvare for Alldocube iPlay 50 mini Pro siden minst 18. august 2023.

I alle bekreftede tilfeller befant den skadelige koden seg i nettbrettets firmware-bilder som inneholdt gyldige digitale signaturer, noe som forsterket sannsynligheten for kompromittering av forsyningskjeden. Noen infiserte firmwarepakker ble distribuert via OTA-oppdateringer (over-the-air). Når den er installert, injiserer bakdøren seg selv i minnet til alle applikasjoner ved oppstart, og fungerer som en flertrinnslaster som gir angripere ubegrenset fjernkontroll over enheten.

Telemetri indikerer at 13 715 brukere over hele verden har støtt på Keenadu eller tilhørende moduler. Den høyeste konsentrasjonen av infeksjoner er observert i Russland, Japan, Tyskland, Brasil og Nederland.

Dyp systemmanipulering: Utnyttelse av kjerneprosesser i Android

Keenadu ble offentliggjort sent i desember 2025 og beskrevet som en bakdør implantert i libandroid_runtime.so, et kritisk delt bibliotek lastet inn under Android-oppstartsprosessen. Når den er aktiv, injiserer skadevaren seg i Zygote-prosessen, en oppførsel som tidligere er observert i Android-skadevaren Triada.

Den ondsinnede rutinen utløses gjennom en funksjon som settes inn i libandroid_runtime.so. Den bekrefter først om den kjører i systemapplikasjoner tilknyttet Google-tjenester eller mobiloperatører som Sprint og T-Mobile. I så fall stoppes kjørelsen. En innebygd kill switch avslutter også skadevaren når spesifikke filnavn oppdages i systemkataloger.

Bakdøren sjekker deretter om den opererer innenfor den privilegerte system_server-prosessen, som styrer kjernefunksjonaliteten i systemet og startes av Zygote under oppstart. Avhengig av miljøet initialiserer skadevaren én av to komponenter:

  • AKServer, som inneholder kjernelogikken og utførelsesmotoren for kommando-og-kontroll (C2)
  • AKClient, som injiseres i hver applikasjon som startes og fungerer som en kommunikasjonsbro til AKServer

Denne arkitekturen lar angripere skreddersy skadelige nyttelaster til spesifikke applikasjoner. Serverkomponenten kan gi eller tilbakekalle apptillatelser, hente geolokasjonsdata og tømme enhetsinformasjon. Ytterligere sikkerhetstiltak sikrer at skadelig programvare avsluttes hvis enhetsspråket er satt til kinesisk innenfor en kinesisk tidssone, eller hvis Google Play Butikk eller Google Play Tjenester ikke er tilgjengelige.

Når Keenadu oppfyller driftskriteriene, dekrypterer den sin C2-adresse og overfører krypterte enhetsmetadata. Serveren svarer med en kryptert JSON-konfigurasjon som beskriver tilgjengelige nyttelaster. For å unngå deteksjon og komplisere analysen, forsinker bakdøren levering av nyttelast i omtrent to og en halv måned etter den første innsjekkingen av enheten. Angriperne er avhengige av Alibaba Cloud som sin infrastruktur for innholdslevering.

Ondsinnede moduler: Monetisering, kapring og annonsesvindel

Keenadu fungerer som en modulær plattform for skadelig programvare som er i stand til å distribuere ulike spesialiserte komponenter. Identifiserte moduler inkluderer følgende:

  • Keenadu Loader retter seg mot populære e-handelsplattformer som Amazon, Shein og Temu, og muliggjør potensielt uautorisert manipulering av handlekurver.
  • Clicker Loader ble injisert i apper som YouTube, Facebook, Google Digital Wellbeing og Android-systemstarteren for å samhandle uredelig med reklameelementer.
  • Google Chrome-modulen målretter Google Chrome mot å kapre søkeord og omdirigere dem til alternative søkemotorer, selv om autofullføringsvalg noen ganger kan forstyrre kapringsforsøket.
  • Nova Clicker, innebygd i systemets bakgrunnsbildevelger, og som utnytter maskinlæring og WebRTC for å engasjere seg med reklameinnhold. Denne komponenten ble tidligere analysert under kodenavnet Phantom av Doctor Web.
  • Installer inntektsmodulen, innebygd i systemstarteren, for å generere falske annonseinntekter ved å feilattribuere programinstallasjoner.
  • Google Play-modulen, som henter Google Ads-annonserings-ID-en og lagrer den under nøkkelen «S_GA_ID3» for sporing på tvers av moduler og identifisering av offer.

Selv om det nåværende operasjonelle fokuset er sentrert rundt reklamesvindel, gir rammeverkets fleksibilitet et betydelig potensial for legitimasjonstyveri og utvidede ondsinnede operasjoner i fremtiden.

Utvidelse av distribusjonskanaler og økosystemkoblinger

Utover implantasjon på fastvarenivå har det blitt observert ytterligere distribusjonsvektorer. Keenadu-lasteren har blitt innebygd i kjernesystemapplikasjoner som ansiktsgjenkjenningstjenester og launchere. Lignende taktikker ble tidligere assosiert med Dwphon, som var rettet mot OTA-oppdateringsmekanismer.

En annen observert metode involverer operasjon i systemer som allerede er kompromittert av en separat forhåndsinstallert bakdør som ligner på BADBOX. Infrastrukturoverlappinger har også blitt identifisert mellom Triada og BADBOX, noe som tyder på botnett-samarbeid. I mars 2025 dukket det opp ytterligere forbindelser mellom BADBOX og Vo1d, som var rettet mot Android TV-enheter av andre merkevarer.

Keenadu har også blitt distribuert gjennom trojanere som har skadet smartkameraer og publisert dem på Google Play av Hangzhou Denghong Technology Co., Ltd. De berørte appene inkluderte:

  • Eoolii (com.taismart.global) – over 100 000 nedlastinger
  • Ziicam (com.ziicam.aws) – over 100 000 nedlastinger
  • Eyeplus – Ditt hjem i dine øyne (com.closeli.eyeplus) – over 100 000 nedlastinger

Disse applikasjonene har siden blitt fjernet fra Google Play. Tilsvarende versjoner ble også publisert i Apple App Store. iOS-variantene inneholdt imidlertid ikke skadelig kode, noe som forsterker konklusjonen om at Keenadu er spesielt utviklet for å målrette Android-nettbrett.

Sikkerhetsimplikasjoner: En trussel mot Androids kjernemodell for tillit

Keenadu representerer en alvorlig trussel på grunn av integreringen i libandroid_runtime.so, som gjør at den kan operere innenfor konteksten til alle applikasjoner. Dette undergraver effektivt Androids sandkassemodell og gir skjult tilgang til alle enhetsdata.

Dens evne til å omgå standard tillatelseskontroller forvandler skadevaren til en fullverdig bakdør med ubegrenset autoritet på systemnivå. Implementeringens sofistikerte karakter demonstrerer avansert ekspertise innen Android-arkitektur, applikasjonslivssyklusadministrasjon og sentrale sikkerhetsmekanismer.

Keenadu skiller seg ut som en storstilt og svært kompleks skadevareplattform som er i stand til å levere vedvarende og tilpasningsdyktig kontroll over kompromitterte enheter. Selv om den for tiden primært brukes til reklamesvindel, antyder dens arkitektoniske dybde en troverdig risiko for eskalering mot legitimasjonstyveri og bredere nettkriminelle operasjoner.

Trender

CIMB Bank - E-postsvindel med overføring til kontoen...

Phishing, Spam
Uventede e-poster som hevder å involvere økonomiske transaksjoner krever ekstra forsiktighet, ettersom de ofte brukes til å manipulere mottakere til å gjøre kostbare feil. Det er avgjørende å være årvåken når man håndterer uoppfordrede meldinger, spesielt når de presser brukere til å gjennomgå betalinger eller bekrefte kontoer. E-postene «CIMB Bank – Overføring til kontoen din» faller rett inn...

Mest sett

Laster inn...