Keenadu ब्याकडोर

Keenadu भनेर चिनिने एक परिष्कृत एन्ड्रोइड ब्याकडोर उपकरण फर्मवेयर भित्र गहिरो रूपमा एम्बेड गरिएको पहिचान गरिएको छ, जसले साइलेन्ट डाटा सङ्कलन र संक्रमित प्रणालीहरूको रिमोट कन्ट्रोल सक्षम बनाउँछ। सुरक्षा अनुसन्धानकर्ताहरूले Alldocube सहित धेरै विक्रेताहरूसँग सम्बन्धित फर्मवेयरमा खतरा पत्ता लगाए, जसमा फर्मवेयर निर्माण चरणको क्रममा सम्झौता भएको प्रमाणहरू छन्। Keenadu कम्तिमा अगस्ट १८, २०२३ देखि Alldocube iPlay ५० मिनी प्रोको लागि फर्मवेयरमा उपस्थित छ।

प्रत्येक पुष्टि भएका केसहरूमा, दुर्भावनापूर्ण कोड ट्याब्लेट फर्मवेयर छविहरू भित्र रहन्थ्यो जसले मान्य डिजिटल हस्ताक्षरहरू बोकेको थियो, जसले आपूर्ति श्रृंखला सम्झौताको सम्भावनालाई बलियो बनाउँछ। केही संक्रमित फर्मवेयर प्याकेजहरू ओभर-द-एयर (OTA) अद्यावधिकहरू मार्फत वितरण गरिएको थियो। एक पटक स्थापना भएपछि, ब्याकडोरले सुरुवातमा प्रत्येक अनुप्रयोगको मेमोरी स्पेसमा इन्जेक्ट गर्दछ, बहु-चरण लोडरको रूपमा सञ्चालन गर्दछ जसले आक्रमणकारीहरूलाई उपकरणमा अप्रतिबंधित रिमोट नियन्त्रण प्रदान गर्दछ।

टेलिमेट्रीले विश्वभर १३,७१५ प्रयोगकर्ताहरूले कीनाडु वा यससँग सम्बन्धित मोड्युलहरूको सामना गरेको देखाउँछ। संक्रमणको उच्चतम सांद्रता रूस, जापान, जर्मनी, ब्राजिल र नेदरल्याण्डमा देखिएको छ।

गहिरो प्रणाली हेरफेर: कोर एन्ड्रोइड प्रक्रियाहरूको शोषण

डिसेम्बर २०२५ को अन्त्यतिर Keenadu सार्वजनिक रूपमा खुलासा गरिएको थियो र libandroid_runtime.so भित्र प्रत्यारोपित ब्याकडोरको रूपमा वर्णन गरिएको थियो, एन्ड्रोइड बुट प्रक्रियाको क्रममा लोड गरिएको एक महत्वपूर्ण साझा पुस्तकालय। एक पटक सक्रिय भएपछि, मालवेयरले आफूलाई Zygote प्रक्रियामा इन्जेक्ट गर्छ, जुन व्यवहार पहिले एन्ड्रोइड मालवेयर Triada मा अवलोकन गरिएको थियो।

दुर्भावनापूर्ण दिनचर्या libandroid_runtime.so मा सम्मिलित गरिएको प्रकार्य मार्फत ट्रिगर गरिन्छ। यसले पहिले यो Google सेवाहरूसँग सम्बन्धित प्रणाली अनुप्रयोगहरू वा Sprint र T-Mobile जस्ता मोबाइल वाहकहरू भित्र कार्यान्वयन भइरहेको छ कि छैन भनेर प्रमाणित गर्दछ; यदि त्यसो हो भने, कार्यान्वयन रोकिन्छ। प्रणाली निर्देशिकाहरूमा विशिष्ट फाइल नामहरू पत्ता लागेपछि बिल्ट-इन किल स्विचले मालवेयरलाई पनि समाप्त गर्दछ।

त्यसपछि ब्याकडोरले यो विशेषाधिकार प्राप्त system_server प्रक्रिया भित्र काम गरिरहेको छ कि छैन भनेर जाँच गर्छ, जसले कोर प्रणाली कार्यक्षमतालाई नियन्त्रण गर्छ र बुटको समयमा Zygote द्वारा सुरु गरिन्छ। वातावरणमा निर्भर गर्दै, मालवेयरले दुई घटकहरू मध्ये एकलाई सुरु गर्छ:

• AKServer, जसमा कोर कमाण्ड-एन्ड-कन्ट्रोल (C2) तर्क र कार्यान्वयन इन्जिन समावेश छ।
• AKClient, जुन प्रत्येक लन्च गरिएको अनुप्रयोगमा इन्जेक्ट गरिन्छ र AKServer मा सञ्चार पुलको रूपमा काम गर्दछ।

यो वास्तुकलाले आक्रमणकारीहरूलाई विशिष्ट अनुप्रयोगहरूमा मालिसियस पेलोडहरू अनुकूलित गर्न अनुमति दिन्छ। सर्भर कम्पोनेन्टले एप अनुमतिहरू प्रदान गर्न वा रद्द गर्न, भौगोलिक स्थान डेटा पुन: प्राप्त गर्न, र उपकरण जानकारी हटाउन सक्छ। यदि उपकरण भाषा चिनियाँ समय क्षेत्र भित्र चिनियाँमा सेट गरिएको छ भने, वा गुगल प्ले स्टोर वा गुगल प्ले सेवाहरू अनुपस्थित छन् भने मालवेयर समाप्त हुन्छ भन्ने कुरा सुनिश्चित गर्न थप सुरक्षा उपायहरूले मद्दत गर्दछ।

सञ्चालन मापदण्ड पूरा गरेपछि, किनाडुले आफ्नो C2 ठेगाना डिक्रिप्ट गर्छ र इन्क्रिप्टेड उपकरण मेटाडेटा प्रसारण गर्छ। सर्भरले उपलब्ध पेलोडहरूको विवरण दिने इन्क्रिप्टेड JSON कन्फिगरेसनको साथ प्रतिक्रिया दिन्छ। पत्ता लगाउनबाट बच्न र विश्लेषणलाई जटिल बनाउन, ब्याकडोरले प्रारम्भिक उपकरण चेक-इन पछि लगभग साढे दुई महिनासम्म पेलोड डेलिभरीमा ढिलाइ गर्छ। आक्रमणकारीहरू आफ्नो सामग्री डेलिभरी पूर्वाधारको रूपमा अलिबाबा क्लाउडमा भर पर्छन्।

दुर्भावनापूर्ण मोड्युलहरू: मुद्रीकरण, अपहरण, र विज्ञापन ठगी

किनाडुले विभिन्न विशेष कम्पोनेन्टहरू तैनाथ गर्न सक्षम मोड्युलर मालवेयर प्लेटफर्मको रूपमा काम गर्छ। पहिचान गरिएका मोड्युलहरूमा निम्न समावेश छन्:

• किनाडु लोडरले अमेजन, शीन र टेमु जस्ता लोकप्रिय ई-कमर्स प्लेटफर्महरूलाई लक्षित गर्दै, सम्भावित रूपमा अनधिकृत कार्ट हेरफेरलाई सक्षम बनाउँछ।
• क्लिकर लोडरलाई युट्युब, फेसबुक, गुगल डिजिटल वेलबिइङ र एन्ड्रोइड सिस्टम लन्चर जस्ता अनुप्रयोगहरूमा विज्ञापन तत्वहरूसँग धोखाधडीपूर्वक अन्तरक्रिया गर्न इन्जेक्ट गरिएको थियो।
• गुगल क्रोम मोड्युलले खोज प्रश्नहरू अपहरण गर्न र तिनीहरूलाई वैकल्पिक खोज इन्जिनहरूमा रिडिरेक्ट गर्न गुगल क्रोमलाई लक्षित गर्दछ, यद्यपि स्वत: पूर्ण चयनहरूले कहिलेकाहीं अपहरण प्रयासलाई बाधा पुर्‍याउन सक्छ।
• नोभा क्लिकर, प्रणाली वालपेपर पिकर भित्र एम्बेड गरिएको र विज्ञापन सामग्रीसँग संलग्न हुन मेसिन लर्निङ र WebRTC को लाभ उठाउँदै। यो कम्पोनेन्ट पहिले डाक्टर वेब द्वारा फ्यान्टम कोडनेम अन्तर्गत विश्लेषण गरिएको थियो।
• एप्लिकेसन स्थापनाहरूलाई गलत श्रेय दिएर जालसाजीपूर्ण विज्ञापन राजस्व उत्पन्न गर्न प्रणाली लन्चरमा इम्बेड गरिएको मुद्रीकरण मोड्युल स्थापना गर्नुहोस्।
• गुगल प्ले मोड्युल, जसले गुगल विज्ञापन विज्ञापन आईडी पुन: प्राप्त गर्दछ र क्रस-मोड्युल ट्र्याकिङ र पीडित पहिचानको लागि 'S_GA_ID3' कुञ्जी अन्तर्गत भण्डारण गर्दछ।

हालको सञ्चालन फोकस विज्ञापन ठगीमा केन्द्रित भए तापनि, फ्रेमवर्कको लचिलोपनले भविष्यमा प्रमाणपत्र चोरी र विस्तारित दुर्भावनापूर्ण कार्यहरूको लागि महत्त्वपूर्ण सम्भावना प्रस्तुत गर्दछ।

वितरण च्यानलहरू र पारिस्थितिक प्रणाली लिङ्कहरू विस्तार गर्दै

फर्मवेयर-स्तर इम्प्लान्टेसन बाहेक, थप वितरण भेक्टरहरू अवलोकन गरिएको छ। किनाडु लोडरलाई अनुहार पहिचान सेवाहरू र लन्चरहरू जस्ता कोर प्रणाली अनुप्रयोगहरू भित्र इम्बेड गरिएको छ। यस्तै रणनीतिहरू पहिले Dwphon सँग सम्बन्धित थिए, जसले OTA अपडेट संयन्त्रहरूलाई लक्षित गर्‍यो।

अर्को अवलोकन गरिएको विधिमा BADBOX जस्तो छुट्टै पूर्व-स्थापित ब्याकडोर द्वारा पहिले नै सम्झौता गरिएको प्रणालीहरू भित्र सञ्चालन समावेश छ। Triada र BADBOX बीच पूर्वाधार ओभरल्यापहरू पनि पहिचान गरिएको छ, जसले बोटनेट सहकार्यलाई सुझाव दिन्छ। मार्च २०२५ मा, BADBOX र Vo1d बीच थप जडानहरू देखा पर्‍यो, जसले अफ-ब्रान्ड एन्ड्रोइड टिभी उपकरणहरूलाई लक्षित गर्‍यो।

किनाडुलाई हांग्जो डेन्घोंग टेक्नोलोजी कं, लिमिटेड द्वारा गुगल प्लेमा प्रकाशित ट्रोजनाइज्ड स्मार्ट क्यामेरा अनुप्रयोगहरू मार्फत पनि वितरण गरिएको छ। प्रभावित अनुप्रयोगहरूमा समावेश थिए:

• Eoolii (com.taismart.global) – १००,००० भन्दा बढी डाउनलोडहरू
• Ziicam (com.ziicam.aws) – १,००,००० भन्दा बढी डाउनलोडहरू
• आइप्लस – तपाईंको आँखामा तपाईंको घर (com.closeli.eyeplus) – १,००,००० भन्दा बढी डाउनलोडहरू

यी अनुप्रयोगहरू गुगल प्लेबाट हटाइएका छन्। समान संस्करणहरू एप्पल एप स्टोरमा पनि प्रकाशित गरिएको थियो; यद्यपि, iOS भेरियन्टहरूमा दुर्भावनापूर्ण कोड समावेश थिएन, जसले गर्दा Keenadu विशेष रूपमा एन्ड्रोइड ट्याब्लेटहरूलाई लक्षित गर्न डिजाइन गरिएको हो भन्ने निष्कर्षलाई बलियो बनाउँछ।

सुरक्षा निहितार्थ: एन्ड्रोइडको मुख्य विश्वास मोडेलको लागि खतरा

libandroid_runtime.so भित्र यसको एकीकरणको कारणले गर्दा Keenadu ले गम्भीर खतराको प्रतिनिधित्व गर्दछ, जसले यसलाई प्रत्येक अनुप्रयोगको सन्दर्भमा सञ्चालन गर्न अनुमति दिन्छ। यसले प्रभावकारी रूपमा एन्ड्रोइडको स्यान्डबक्सिङ मोडेललाई कमजोर बनाउँछ र सबै उपकरण डेटामा गोप्य पहुँच प्रदान गर्दछ।

मानक अनुमति नियन्त्रणहरूलाई बाइपास गर्ने यसको क्षमताले मालवेयरलाई अप्रतिबन्धित प्रणाली-स्तर अधिकारको साथ पूर्ण ब्याकडोरमा रूपान्तरण गर्दछ। कार्यान्वयनको परिष्कारले एन्ड्रोइड वास्तुकला, अनुप्रयोग जीवनचक्र व्यवस्थापन, र मुख्य सुरक्षा संयन्त्रहरूमा उन्नत विशेषज्ञता प्रदर्शन गर्दछ।

किनाडु एक ठूलो स्तरको र अत्यधिक जटिल मालवेयर प्लेटफर्मको रूपमा उभिएको छ जुन सम्झौता गरिएका उपकरणहरूमा निरन्तर र अनुकूलनीय नियन्त्रण प्रदान गर्न सक्षम छ। यद्यपि हाल मुख्यतया विज्ञापन ठगीको लागि लिभरेज गरिएको छ, यसको वास्तुकला गहिराइले प्रमाण चोरी र व्यापक साइबर आपराधिक कार्यहरू तिर बढ्ने विश्वसनीय जोखिमलाई सुझाव दिन्छ।