Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Ușă din spate Keenadu

Ușă din spate Keenadu

Până în Mezo în Malware mobil, Ușile din spate
Tradu in:

Un backdoor sofisticat pentru Android, cunoscut sub numele de Keenadu, a fost identificat ca fiind încorporat adânc în firmware-ul dispozitivului, permițând colectarea silențioasă a datelor și controlul de la distanță al sistemelor infectate. Cercetătorii în domeniul securității au descoperit amenințarea în firmware-ul legat de mai mulți furnizori, inclusiv Alldocube, dovezile arătând că compromiterea a avut loc în timpul fazei de construire a firmware-ului. Keenadu este prezent în firmware-ul pentru Alldocube iPlay 50 mini Pro cel puțin din 18 august 2023.

În fiecare caz confirmat, codul malițios se afla în imaginile firmware-ului tabletei care conțineau semnături digitale valide, ceea ce sporește probabilitatea compromiterii lanțului de aprovizionare. Unele pachete firmware infectate au fost distribuite prin actualizări over-the-air (OTA). Odată instalat, backdoor-ul se injectează în spațiul de memorie al fiecărei aplicații la lansare, funcționând ca un încărcător în mai multe etape care oferă atacatorilor control de la distanță nerestricționat asupra dispozitivului.

Telemetria indică faptul că 13.715 utilizatori din întreaga lume au întâlnit Keenadu sau modulele sale asociate. Cea mai mare concentrație de infecții a fost observată în Rusia, Japonia, Germania, Brazilia și Olanda.

Manipularea profundă a sistemului: Exploatarea proceselor de bază ale Android

Keenadu a fost dezvăluit public la sfârșitul lunii decembrie 2025 și descris ca un backdoor implantat în libandroid_runtime.so, o bibliotecă partajată critică încărcată în timpul procesului de bootare Android. Odată activ, malware-ul se injectează în procesul Zygote, un comportament observat anterior în malware-ul Android Triada.

Rutina malițioasă este declanșată printr-o funcție inserată în libandroid_runtime.so. Mai întâi verifică dacă se execută în cadrul aplicațiilor de sistem asociate cu serviciile Google sau cu operatorii de telefonie mobilă precum Sprint și T-Mobile; dacă da, execuția este oprită. Un kill switch încorporat oprește, de asemenea, malware-ul atunci când sunt detectate nume de fișiere specifice în directoarele de sistem.

Apoi, backdoor-ul verifică dacă operează în cadrul procesului privilegiat system_server, care guvernează funcționalitatea de bază a sistemului și este lansat de Zygote în timpul pornirii. În funcție de mediu, malware-ul inițializează una dintre cele două componente:

  • AKServer, care conține logica de comandă și control (C2) și motorul de execuție
  • AKClient, care este injectat în fiecare aplicație lansată și acționează ca o punte de comunicare către AKServer

Această arhitectură permite atacatorilor să adapteze sarcinile utile rău intenționate la aplicații specifice. Componenta serverului poate acorda sau revoca permisiuni pentru aplicații, poate recupera date de geolocalizare și poate extrage informații despre dispozitive. Garanții suplimentare asigură că malware-ul se termină dacă limba dispozitivului este setată la chineză într-un fus orar chinezesc sau dacă Magazinul Google Play sau Serviciile Google Play sunt absente.

La îndeplinirea criteriilor operaționale, Keenadu decriptează adresa sa C2 și transmite metadatele criptate ale dispozitivului. Serverul răspunde cu o configurație JSON criptată care detaliază sarcinile utile disponibile. Pentru a evita detectarea și a complica analiza, backdoor-ul întârzie livrarea sarcinilor utile cu aproximativ două luni și jumătate după verificarea inițială a dispozitivului. Atacatorii se bazează pe Alibaba Cloud ca infrastructură de livrare a conținutului.

Module rău intenționate: Monetizare, Deturnare și Fraudă Publicitară

Keenadu funcționează ca o platformă modulară pentru programe malware, capabilă să implementeze diverse componente specializate. Printre modulele identificate se numără următoarele:

  • Keenadu Loader vizează platforme populare de comerț electronic precum Amazon, Shein și Temu, permițând potențial manipularea neautorizată a coșului de cumpărături.
  • Clicker Loader injectat în aplicații precum YouTube, Facebook, Google Digital Wellbeing și sistemul de lansare Android pentru a interacționa fraudulos cu elementele publicitare.
  • Modulul Google Chrome vizează Google Chrome pentru a deturna interogările de căutare și a le redirecționa către motoare de căutare alternative, deși selecțiile de completare automată pot uneori perturba tentativa de deturnare.
  • Nova Clicker, încorporat în selectorul de imagini de fundal al sistemului și care utilizează învățarea automată și WebRTC pentru a interacționa cu conținutul publicitar. Această componentă a fost analizată anterior sub numele de cod Phantom de către Doctor Web.
  • Instalați Modulul de Monetizare, încorporat în lansatorul de sistem, pentru a genera venituri publicitare frauduloase prin atribuirea greșită a instalărilor de aplicații.
  • Modulul Google Play, care preia ID-ul publicitar Google Ads și îl stochează sub cheia „S_GA_ID3” pentru urmărirea între module și identificarea victimelor.

Deși accentul operațional actual se concentrează pe frauda publicitară, flexibilitatea cadrului prezintă un potențial semnificativ pentru furtul de acreditări și extinderea operațiunilor rău intenționate în viitor.

Extinderea canalelor de distribuție și a legăturilor ecosistemice

Dincolo de implantarea la nivel de firmware, au fost observați vectori de distribuție suplimentari. Încărcătorul Keenadu a fost încorporat în aplicații de bază ale sistemului, cum ar fi serviciile de recunoaștere facială și lansatoarele. Tactici similare au fost asociate anterior cu Dwphon, care vizau mecanismele de actualizare OTA.

O altă metodă observată implică operarea în cadrul sistemelor deja compromise de un backdoor separat preinstalat, asemănător cu BADBOX. De asemenea, au fost identificate suprapuneri de infrastructură între Triada și BADBOX, sugerând o colaborare între botnet-uri. În martie 2025, au apărut alte conexiuni între BADBOX și Vo1d, care vizau dispozitive Android TV de altă marcă.

Keenadu a fost distribuit și prin aplicații troiene pentru camere inteligente publicate pe Google Play de Hangzhou Denghong Technology Co., Ltd. Printre aplicațiile afectate s-au numărat:

  • Eoolii (com.taismart.global) – peste 100.000 de descărcări
  • Ziicam (com.ziicam.aws) – peste 100.000 de descărcări
  • Eyeplus – Casa ta în ochii tăi (com.closeli.eyeplus) – peste 100.000 de descărcări

Aceste aplicații au fost ulterior eliminate de pe Google Play. Versiuni echivalente au fost publicate și în Apple App Store; cu toate acestea, variantele iOS nu conțineau cod malițios, ceea ce întărește concluzia că Keenadu este special conceput pentru a viza tabletele Android.

Implicații de securitate: o amenințare la adresa modelului de încredere de bază al Android

Keenadu reprezintă o amenințare serioasă datorită integrării sale în libandroid_runtime.so, permițându-i să funcționeze în contextul fiecărei aplicații. Acest lucru subminează efectiv modelul de sandboxing al Android și oferă acces secret la toate datele dispozitivului.

Capacitatea sa de a ocoli controalele standard de permisiuni transformă malware-ul într-un backdoor complet, cu autoritate nerestricționată la nivel de sistem. Sofisticarea implementării demonstrează expertiză avansată în arhitectura Android, gestionarea ciclului de viață al aplicațiilor și mecanismele de securitate de bază.

Keenadu se remarcă ca o platformă de malware la scară largă și extrem de complexă, capabilă să ofere un control persistent și adaptabil asupra dispozitivelor compromise. Deși în prezent este utilizat în principal pentru frauda publicitară, profunzimea sa arhitecturală sugerează un risc credibil de escaladare către furtul de acreditări și operațiuni cibernetice mai ample.

Trending

CIMB Bank - Escrocherie prin e-mail prin transfer în...

phishing, Spam
E-mailurile neașteptate care pretind că implică tranzacții financiare necesită o prudență sporită, deoarece sunt frecvent folosite pentru a manipula destinatarii să facă greșeli costisitoare. Este esențial să rămâneți vigilenți atunci când gestionați mesaje nesolicitate, mai ales atunci când acestea presează utilizatorii să verifice plățile sau conturile. E-mailurile „CIMB Bank – Transfer în...

Cele mai văzute

Se încarcă...