Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware Keenadu Achterdeur

Keenadu Achterdeur

Tegen Mezo in Mobiele malware, Achterdeurtjes
Vertalen naar:

Een geavanceerde Android-achterdeur, bekend als Keenadu, is ontdekt diep in de firmware van apparaten. Deze achterdeur maakt het mogelijk om ongemerkt gegevens te verzamelen en geïnfecteerde systemen op afstand te besturen. Beveiligingsonderzoekers ontdekten de dreiging in firmware van verschillende fabrikanten, waaronder Alldocube. Bewijs toont aan dat de inbreuk plaatsvond tijdens de firmware-ontwikkelingsfase. Keenadu is al sinds ten minste 18 augustus 2023 aanwezig in de firmware van de Alldocube iPlay 50 mini Pro.

In alle bevestigde gevallen bevond de kwaadaardige code zich in firmware-images van tablets met geldige digitale handtekeningen, wat de waarschijnlijkheid van een compromittering in de toeleveringsketen versterkt. Sommige geïnfecteerde firmwarepakketten werden verspreid via draadloze (OTA) updates. Eenmaal geïnstalleerd, injecteert de backdoor zichzelf bij het opstarten van elke applicatie in het geheugen en functioneert als een meertrapslader die aanvallers onbeperkte controle op afstand over het apparaat geeft.

Uit telemetriegegevens blijkt dat wereldwijd 13.715 gebruikers in aanraking zijn gekomen met Keenadu of de bijbehorende modules. De hoogste concentratie infecties is waargenomen in Rusland, Japan, Duitsland, Brazilië en Nederland.

Diepgaande systeemmanipulatie: misbruik maken van essentiële Android-processen

Keenadu werd eind december 2025 openbaar gemaakt en beschreven als een backdoor die is ingeplant in libandroid_runtime.so, een cruciale gedeelde bibliotheek die tijdens het Android-opstartproces wordt geladen. Eenmaal actief, injecteert de malware zichzelf in het Zygote-proces, een gedrag dat eerder is waargenomen bij de Android-malware Triada.

De kwaadaardige routine wordt geactiveerd via een functie die is ingevoegd in libandroid_runtime.so. Deze controleert eerst of de routine wordt uitgevoerd binnen systeemapplicaties die zijn gekoppeld aan Google-services of mobiele providers zoals Sprint en T-Mobile; zo ja, dan wordt de uitvoering gestopt. Een ingebouwde kill switch beëindigt de malware ook wanneer specifieke bestandsnamen worden gedetecteerd in systeemdirectory's.

De backdoor controleert vervolgens of deze actief is binnen het geprivilegieerde system_server-proces, dat de kernfunctionaliteit van het systeem beheert en door Zygote tijdens het opstarten wordt gestart. Afhankelijk van de omgeving initialiseert de malware een van de twee volgende componenten:

  • AKServer, dat de kern van de command-and-control (C2)-logica en de uitvoeringsengine bevat.
  • AKClient wordt in elke gestarte applicatie geïnjecteerd en fungeert als communicatiebrug naar AKServer.

Deze architectuur stelt aanvallers in staat om kwaadaardige payloads af te stemmen op specifieke applicaties. De servercomponent kan app-machtigingen verlenen of intrekken, geolocatiegegevens ophalen en apparaatinformatie stelen. Extra beveiligingsmaatregelen zorgen ervoor dat de malware stopt als de apparaattaal is ingesteld op Chinees binnen een Chinese tijdzone, of als de Google Play Store of Google Play Services niet beschikbaar zijn.

Zodra aan de operationele criteria is voldaan, decodeert Keenadu zijn C2-adres en verzendt het versleutelde apparaatmetadata. De server reageert met een versleutelde JSON-configuratie met details over de beschikbare payloads. Om detectie te omzeilen en analyse te bemoeilijken, vertraagt de backdoor de levering van de payload met ongeveer tweeënhalve maand na de eerste apparaatregistratie. De aanvallers maken gebruik van Alibaba Cloud als hun infrastructuur voor contentlevering.

Kwaadaardige modules: Monetarisatie, kaping en advertentiefraude

Keenadu functioneert als een modulair malwareplatform dat in staat is verschillende gespecialiseerde componenten in te zetten. De geïdentificeerde modules omvatten de volgende:

  • Keenadu Loader richt zich op populaire e-commerceplatforms zoals Amazon, Shein en Temu, waardoor mogelijk ongeautoriseerde manipulatie van winkelwagens mogelijk wordt.
  • Clicker Loader wordt geïnjecteerd in applicaties zoals YouTube, Facebook, Google Digital Wellbeing en de Android-launcher om op frauduleuze wijze te interageren met advertentie-elementen.
  • Een Google Chrome-module die zich richt op Google Chrome om zoekopdrachten te kapen en door te sturen naar alternatieve zoekmachines, hoewel selecties in de autocomplete-functie de kapingspoging soms kunnen verstoren.
  • Nova Clicker is geïntegreerd in de systeemachtergrondkiezer en maakt gebruik van machine learning en WebRTC om te interageren met advertentiecontent. Deze component werd eerder door Doctor Web geanalyseerd onder de codenaam Phantom.
  • Installeer de Monetization Module, ingebed in de systeemlauncher, om frauduleuze advertentie-inkomsten te genereren door applicatie-installaties verkeerd toe te schrijven.
  • De Google Play-module haalt de advertentie-ID van Google Ads op en slaat deze op onder de sleutel 'S_GA_ID3' voor het volgen van activiteiten tussen modules en het identificeren van slachtoffers.

Hoewel de huidige operationele focus ligt op reclamefraude, biedt de flexibiliteit van het raamwerk aanzienlijke mogelijkheden voor diefstal van inloggegevens en uitgebreidere kwaadwillige activiteiten in de toekomst.

Uitbreiding van distributiekanalen en ecosysteemverbindingen

Naast de implementatie op firmwareniveau zijn er ook andere distributiekanalen waargenomen. De Keenadu-loader is ingebed in kernsysteemapplicaties zoals gezichtsherkenningsdiensten en launchers. Soortgelijke tactieken werden eerder geassocieerd met Dwphon, dat zich richtte op OTA-updatemechanismen.

Een andere waargenomen methode betreft het opereren binnen systemen die al gecompromitteerd zijn door een aparte, vooraf geïnstalleerde backdoor die lijkt op BADBOX. Er zijn ook infrastructurele overlappingen vastgesteld tussen Triada en BADBOX, wat wijst op samenwerking tussen botnets. In maart 2025 kwamen er verdere verbanden aan het licht tussen BADBOX en Vo1d, dat zich richtte op Android TV-apparaten van onbekende merken.

Keenadu is ook verspreid via met een trojan geïnfecteerde smartcamera-apps die door Hangzhou Denghong Technology Co., Ltd. op Google Play zijn gepubliceerd. De getroffen apps waren onder andere:

  • Eoolii (com.taismart.global) – meer dan 100.000 downloads
  • Ziicam (com.ziicam.aws) – meer dan 100.000 downloads
  • Eyeplus – Uw thuis in uw ogen (com.closeli.eyeplus) – meer dan 100.000 downloads

Deze applicaties zijn inmiddels verwijderd uit Google Play. Vergelijkbare versies werden ook gepubliceerd in de Apple App Store; de iOS-varianten bevatten echter geen kwaadaardige code, wat de conclusie versterkt dat Keenadu specifiek is ontworpen om Android-tablets aan te vallen.

Beveiligingsimplicaties: een bedreiging voor het kernvertrouwensmodel van Android

Keenadu vormt een ernstige bedreiging vanwege de integratie in libandroid_runtime.so, waardoor het in de context van elke applicatie kan opereren. Dit ondermijnt effectief het sandboxingmodel van Android en biedt heimelijke toegang tot alle apparaatgegevens.

Het vermogen om standaard toegangsrechten te omzeilen, transformeert de malware in een volwaardige backdoor met onbeperkte systeembevoegdheden. De geavanceerdheid van de implementatie getuigt van grote expertise in Android-architectuur, applicatielevenscyclusbeheer en essentiële beveiligingsmechanismen.

Keenadu onderscheidt zich als een grootschalig en zeer complex malwareplatform dat in staat is om aanhoudende en aanpasbare controle over gecompromitteerde apparaten te verkrijgen. Hoewel het momenteel voornamelijk wordt gebruikt voor advertentiefraude, wijst de complexe architectuur op een reëel risico op escalatie naar diefstal van inloggegevens en bredere cybercriminele activiteiten.

Trending

Meest bekeken

Bezig met laden...