Кинаду Бэкдор
В прошивке устройства обнаружен сложный бэкдор Android, известный как Keenadu, позволяющий осуществлять скрытый сбор данных и удаленное управление зараженными системами. Исследователи безопасности обнаружили угрозу в прошивке, используемой несколькими производителями, включая Alldocube, и доказательства указывают на то, что взлом произошел на этапе сборки прошивки. Keenadu присутствует в прошивке Alldocube iPlay 50 mini Pro как минимум с 18 августа 2023 года.
Во всех подтвержденных случаях вредоносный код находился в образах прошивки планшета, содержащих действительные цифровые подписи, что повышает вероятность компрометации цепочки поставок. Некоторые зараженные пакеты прошивки распространялись через беспроводные обновления (OTA). После установки бэкдор внедряется в память каждого приложения при запуске, работая как многоступенчатый загрузчик, предоставляющий злоумышленникам неограниченный удаленный контроль над устройством.
Согласно данным телеметрии, 13 715 пользователей по всему миру сталкивались с Keenadu или связанными с ним модулями. Наибольшая концентрация заражений наблюдается в России, Японии, Германии, Бразилии и Нидерландах.
Оглавление
Глубокое манипулирование системой: использование уязвимостей в основных процессах Android.
В конце декабря 2025 года вредоносная программа Keenadu была публично представлена и описана как бэкдор, внедренный в libandroid_runtime.so, критически важную разделяемую библиотеку, загружаемую во время загрузки Android. После активации вредоносная программа внедряется в процесс Zygote, что ранее наблюдалось в вредоносной программе Triada для Android.
Вредоносная программа запускается через функцию, вставленную в файл libandroid_runtime.so. Сначала она проверяет, выполняется ли она внутри системных приложений, связанных с сервисами Google или мобильными операторами, такими как Sprint и T-Mobile; если да, то выполнение останавливается. Встроенный механизм аварийного завершения также прекращает работу вредоносной программы при обнаружении определенных имен файлов в системных каталогах.
Затем бэкдор проверяет, работает ли он в рамках привилегированного процесса system_server, который управляет основными функциями системы и запускается Zygote во время загрузки. В зависимости от среды вредоносная программа инициализирует один из двух компонентов:
- AKServer, содержащий основную логику управления и контроля (C2) и механизм выполнения команд.
- AKClient, который внедряется в каждое запущенное приложение и выступает в качестве моста связи с AKServer.
Эта архитектура позволяет злоумышленникам адаптировать вредоносные программы к конкретным приложениям. Серверный компонент может предоставлять или отзывать разрешения для приложений, получать данные геолокации и похищать информацию с устройства. Дополнительные меры защиты гарантируют завершение работы вредоносного ПО, если язык устройства установлен на китайский в китайском часовом поясе или если отсутствуют Google Play Store или Google Play Services.
После выполнения операционных критериев Keenadu расшифровывает свой C2-адрес и передает зашифрованные метаданные устройства. Сервер отвечает зашифрованной конфигурацией в формате JSON, содержащей подробную информацию о доступных полезных нагрузках. Чтобы избежать обнаружения и усложнить анализ, бэкдор задерживает доставку полезной нагрузки примерно на два с половиной месяца после первоначальной регистрации устройства. Злоумышленники используют Alibaba Cloud в качестве инфраструктуры доставки контента.
Вредоносные модули: монетизация, захват и мошенничество с рекламой.
Keenadu функционирует как модульная платформа вредоносного ПО, способная развертывать различные специализированные компоненты. К идентифицированным модулям относятся следующие:
- Keenadu Loader нацелен на популярные платформы электронной коммерции, такие как Amazon, Shein и Temu, и потенциально может позволить несанкционированную манипуляцию корзиной покупок.
- Программа Clicker Loader внедряется в такие приложения, как YouTube, Facebook, Google Digital Wellbeing и системный лаунчер Android, для мошеннического взаимодействия с рекламными элементами.
- Модуль Google Chrome, нацеленный на Google Chrome, перехватывает поисковые запросы и перенаправляет их на альтернативные поисковые системы, хотя иногда автозаполнение может помешать попытке перехвата.
- Nova Clicker, встроенный в системный инструмент выбора обоев и использующий машинное обучение и WebRTC для взаимодействия с рекламным контентом. Ранее этот компонент анализировался компанией Doctor Web под кодовым названием Phantom.
- Установите модуль монетизации, встроенный в системный лаунчер, для получения мошеннической прибыли от рекламы путем неправильного распределения установок приложений.
- Модуль Google Play, который извлекает рекламный идентификатор Google Ads и сохраняет его под ключом 'S_GA_ID3' для отслеживания между модулями и идентификации жертв.
Хотя в настоящее время основное внимание уделяется борьбе с мошенничеством в сфере рекламы, гибкость данной системы открывает значительные возможности для кражи учетных данных и расширения вредоносных операций в будущем.
Расширение каналов сбыта и связей в экосистеме.
Помимо внедрения на уровне встроенного ПО, были обнаружены и другие векторы распространения. Загрузчик Keenadu был встроен в основные системные приложения, такие как сервисы распознавания лиц и лаунчеры. Аналогичная тактика ранее применялась компанией Dwphon, которая нацеливалась на механизмы обновления по воздуху (OTA).
Другой наблюдаемый метод предполагает работу внутри систем, уже скомпрометированных отдельным предустановленным бэкдором, похожим на BADBOX. Также были выявлены пересечения инфраструктуры между Triada и BADBOX, что указывает на сотрудничество ботнетов. В марте 2025 года появились дополнительные связи между BADBOX и Vo1d, которые атаковали устройства Android TV сторонних производителей.
Приложение Keenadu также распространялось через троянизированные приложения для умных камер, опубликованные в Google Play компанией Hangzhou Denghong Technology Co., Ltd. К числу затронутых приложений относятся:
- Eoolii (com.taismart.global) – более 100 000 загрузок
- Ziicam (com.ziicam.aws) – более 100 000 загрузок.
- Eyeplus – Ваш дом в ваших глазах (com.closeli.eyeplus) – более 100 000 загрузок
Эти приложения впоследствии были удалены из Google Play. Аналогичные версии также были опубликованы в Apple App Store; однако варианты для iOS не содержали вредоносного кода, что подтверждает вывод о том, что Keenadu специально разработан для планшетов Android.
Последствия для безопасности: угроза базовой модели доверия Android.
Keenadu представляет собой серьезную угрозу из-за своей интеграции в libandroid_runtime.so, что позволяет ему работать в контексте любого приложения. Это фактически подрывает модель песочницы Android и обеспечивает скрытый доступ ко всем данным устройства.
Способность обходить стандартные средства контроля разрешений превращает вредоносное ПО в полноценный бэкдор с неограниченными правами доступа на системном уровне. Сложность реализации демонстрирует высокий уровень знаний в области архитектуры Android, управления жизненным циклом приложений и основных механизмов безопасности.
Keenadu выделяется как масштабная и чрезвычайно сложная платформа вредоносного ПО, способная обеспечивать постоянный и адаптируемый контроль над скомпрометированными устройствами. Хотя в настоящее время она используется в основном для мошенничества в сфере рекламы, глубина её архитектуры предполагает реальный риск эскалации в сторону кражи учетных данных и более масштабных киберпреступных операций.
