Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Porta dos fundos Keenadu

Porta dos fundos Keenadu

Por Mezo em Malware móvel, Backdoors
Traduzir Para:

Uma sofisticada porta dos fundos para Android, conhecida como Keenadu, foi identificada embutida no firmware de dispositivos, permitindo a coleta silenciosa de dados e o controle remoto de sistemas infectados. Pesquisadores de segurança descobriram a ameaça em firmwares de diversos fornecedores, incluindo a Alldocube, com evidências de que a invasão ocorreu durante a fase de compilação do firmware. O Keenadu está presente no firmware do Alldocube iPlay 50 mini Pro desde pelo menos 18 de agosto de 2023.

Em todos os casos confirmados, o código malicioso residia em imagens de firmware de tablets que continham assinaturas digitais válidas, reforçando a probabilidade de comprometimento da cadeia de suprimentos. Alguns pacotes de firmware infectados foram distribuídos por meio de atualizações over-the-air (OTA). Uma vez instalado, o backdoor se injeta no espaço de memória de cada aplicativo na inicialização, operando como um carregador de múltiplos estágios que concede aos invasores controle remoto irrestrito sobre o dispositivo.

Os dados de telemetria indicam que 13.715 usuários em todo o mundo tiveram contato com o Keenadu ou seus módulos associados. A maior concentração de infecções foi observada na Rússia, Japão, Alemanha, Brasil e Holanda.

Manipulação profunda do sistema: explorando processos centrais do Android

O Keenadu foi divulgado publicamente no final de dezembro de 2025 e descrito como uma porta dos fundos implantada no libandroid_runtime.so, uma biblioteca compartilhada crítica carregada durante o processo de inicialização do Android. Uma vez ativo, o malware se injeta no processo Zygote, comportamento já observado anteriormente no malware para Android Triada.

A rotina maliciosa é acionada por meio de uma função inserida no arquivo libandroid_runtime.so. Ela verifica inicialmente se está sendo executada dentro de aplicativos do sistema associados a serviços do Google ou operadoras de telefonia móvel, como Sprint e T-Mobile; em caso afirmativo, a execução é interrompida. Um mecanismo de desativação integrado também encerra o malware quando nomes de arquivos específicos são detectados em diretórios do sistema.

O backdoor verifica então se está sendo executado dentro do processo privilegiado system_server, que controla as funcionalidades principais do sistema e é iniciado pelo Zygote durante a inicialização. Dependendo do ambiente, o malware inicializa um dos dois componentes:

  • AKServer, que contém a lógica central de comando e controle (C2) e o mecanismo de execução.
  • O AKClient, que é injetado em cada aplicação iniciada, atua como uma ponte de comunicação com o AKServer.

Essa arquitetura permite que os atacantes personalizem cargas maliciosas para aplicativos específicos. O componente de servidor pode conceder ou revogar permissões de aplicativos, recuperar dados de geolocalização e exfiltrar informações do dispositivo. Medidas de segurança adicionais garantem que o malware seja encerrado se o idioma do dispositivo estiver definido para chinês em um fuso horário chinês ou se a Google Play Store ou os Serviços do Google Play estiverem ausentes.

Ao atender aos critérios operacionais, o Keenadu descriptografa seu endereço C2 e transmite metadados criptografados do dispositivo. O servidor responde com uma configuração JSON criptografada detalhando as cargas úteis disponíveis. Para evitar a detecção e dificultar a análise, o backdoor atrasa a entrega da carga útil por aproximadamente dois meses e meio após o registro inicial do dispositivo. Os atacantes utilizam a Alibaba Cloud como infraestrutura de distribuição de conteúdo.

Módulos Maliciosos: Monetização, Sequestro e Fraude Publicitária

O Keenadu funciona como uma plataforma de malware modular capaz de implantar vários componentes especializados. Os módulos identificados incluem os seguintes:

  • O Keenadu Loader tem como alvo plataformas populares de comércio eletrônico, como Amazon, Shein e Temu, possibilitando a manipulação não autorizada de carrinhos de compras.
  • O Clicker Loader é injetado em aplicativos como YouTube, Facebook, Google Digital Wellbeing e no iniciador do sistema Android para interagir fraudulentamente com elementos publicitários.
  • Módulo do Google Chrome que visa sequestrar consultas de pesquisa e redirecioná-las para mecanismos de busca alternativos, embora as opções de preenchimento automático possam, às vezes, interromper a tentativa de sequestro.
  • O Nova Clicker, integrado ao seletor de papéis de parede do sistema, utiliza aprendizado de máquina e WebRTC para interagir com conteúdo publicitário. Este componente foi analisado anteriormente sob o codinome Phantom pelo Doctor Web.
  • Instale o Módulo de Monetização, incorporado ao iniciador do sistema, para gerar receita publicitária fraudulenta, atribuindo erroneamente instalações de aplicativos.
  • O módulo do Google Play recupera o ID de publicidade do Google Ads e o armazena sob a chave 'S_GA_ID3' para rastreamento entre módulos e identificação da vítima.

Embora o foco operacional atual esteja centrado na fraude publicitária, a flexibilidade da estrutura apresenta um potencial significativo para roubo de credenciais e expansão de operações maliciosas no futuro.

Expansão dos canais de distribuição e das conexões com o ecossistema

Além da implantação em nível de firmware, outros vetores de distribuição foram observados. O carregador Keenadu foi incorporado em aplicações centrais do sistema, como serviços de reconhecimento facial e launchers. Táticas semelhantes foram anteriormente associadas ao Dwphon, que tinha como alvo mecanismos de atualização OTA.

Outro método observado envolve a operação em sistemas já comprometidos por um backdoor pré-instalado semelhante ao BADBOX. Sobreposições de infraestrutura também foram identificadas entre Triada e BADBOX, sugerindo colaboração entre botnets. Em março de 2025, novas conexões surgiram entre BADBOX e Vo1d, que tinha como alvo dispositivos Android TV de marcas desconhecidas.

O Keenadu também foi distribuído por meio de aplicativos de câmera inteligentes infectados com trojan, publicados no Google Play pela Hangzhou Denghong Technology Co., Ltd. Os aplicativos afetados incluíam:

  • Eoolii (com.taismart.global) – mais de 100.000 downloads
  • Ziicam (com.ziicam.aws) – mais de 100.000 downloads
  • Eyeplus – Seu lar nos seus olhos (com.closeli.eyeplus) – mais de 100.000 downloads

Esses aplicativos foram posteriormente removidos do Google Play. Versões equivalentes também foram publicadas na App Store da Apple; no entanto, as variantes para iOS não continham código malicioso, reforçando a conclusão de que o Keenadu foi projetado especificamente para atacar tablets Android.

Implicações de segurança: uma ameaça ao modelo de confiança central do Android

O Keenadu representa uma grave ameaça devido à sua integração com o libandroid_runtime.so, permitindo que ele opere no contexto de todos os aplicativos. Isso compromete efetivamente o modelo de sandbox do Android e fornece acesso oculto a todos os dados do dispositivo.

Sua capacidade de contornar os controles de permissão padrão transforma o malware em uma porta dos fundos completa, com autoridade irrestrita em nível de sistema. A sofisticação da implementação demonstra conhecimento avançado em arquitetura Android, gerenciamento do ciclo de vida de aplicativos e mecanismos de segurança essenciais.

O Keenadu se destaca como uma plataforma de malware de grande escala e altamente complexa, capaz de fornecer controle persistente e adaptável sobre dispositivos comprometidos. Embora atualmente seja utilizado principalmente para fraudes publicitárias, a profundidade de sua arquitetura sugere um risco considerável de escalada para roubo de credenciais e operações cibercriminosas mais amplas.

Tendendo

Mais visto

Carregando...