Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér Zadné vrátka Keenadu

Zadné vrátka Keenadu

Do roku Mezo v roku Mobilný malvér, Zadné vrátka
Preložiť do:

Hlboko vo firmvéri zariadenia bol identifikovaný sofistikovaný zadný vrátnik pre systém Android známy ako Keenadu, ktorý umožňuje tichý zber údajov a diaľkové ovládanie infikovaných systémov. Bezpečnostní výskumníci odhalili hrozbu vo firmvéri prepojenom s viacerými dodávateľmi vrátane Alldocube, pričom dôkazy naznačujú, že k ohrozeniu došlo počas fázy zostavovania firmvéru. Keenadu je prítomný vo firmvéri pre Alldocube iPlay 50 mini Pro minimálne od 18. augusta 2023.

V každom potvrdenom prípade sa škodlivý kód nachádzal v obrazoch firmvéru tabletu, ktoré obsahovali platné digitálne podpisy, čo zvyšovalo pravdepodobnosť napadnutia dodávateľského reťazca. Niektoré infikované balíky firmvéru boli distribuované prostredníctvom bezdrôtových (OTA) aktualizácií. Po nainštalovaní sa zadné vrátka pri spustení vstreknú do pamäťového priestoru každej aplikácie a fungujú ako viacstupňový zavádzač, ktorý útočníkom poskytuje neobmedzenú diaľkovú kontrolu nad zariadením.

Telemetria naznačuje, že s Keenadu alebo s ním súvisiacimi modulmi sa stretlo 13 715 používateľov na celom svete. Najvyššia koncentrácia infekcií bola zaznamenaná v Rusku, Japonsku, Nemecku, Brazílii a Holandsku.

Hlboká manipulácia so systémom: Využívanie základných procesov systému Android

Malvér Keenadu bol verejne odhalený koncom decembra 2025 a opísaný ako zadné vrátka implantované do libandroid_runtime.so, kritickej zdieľanej knižnice načítanej počas procesu spúšťania systému Android. Po aktivácii sa malvér vstrekne do procesu Zygote, čo je správanie, ktoré bolo predtým pozorované u malvéru Triada pre Android.

Škodlivá rutina sa spúšťa prostredníctvom funkcie vloženej do súboru libandroid_runtime.so. Najprv sa overí, či sa vykonáva v systémových aplikáciách spojených so službami Google alebo mobilnými operátormi, ako sú Sprint a T-Mobile; ak áno, vykonávanie sa zastaví. Vstavaný kill switch tiež ukončí malvér, keď sa v systémových adresároch zistia konkrétne názvy súborov.

Zadné vrátka potom skontrolujú, či fungujú v rámci privilegovaného procesu system_server, ktorý riadi základné funkcie systému a spúšťa ho systém Zygote počas bootovania. V závislosti od prostredia malvér inicializuje jednu z dvoch komponentov:

  • AKServer, ktorý obsahuje základný logický a vykonávací mechanizmus príkazov a riadenia (C2).
  • AKClient, ktorý sa vkladá do každej spustenej aplikácie a slúži ako komunikačný mostík k AKServeru

Táto architektúra umožňuje útočníkom prispôsobiť škodlivé dáta konkrétnym aplikáciám. Serverový komponent môže udeliť alebo odvolať povolenia aplikácií, načítať geolokačné údaje a získať informácie o zariadení. Ďalšie bezpečnostné opatrenia zabezpečujú, že škodlivý softvér sa ukončí, ak je jazyk zariadenia nastavený na čínštinu v rámci čínskeho časového pásma alebo ak chýba Obchod Google Play alebo Služby Google Play.

Po splnení prevádzkových kritérií Keenadu dešifruje svoju adresu C2 a odošle šifrované metadáta zariadenia. Server odpovie šifrovanou konfiguráciou JSON s podrobnosťami o dostupných dátach. Aby sa predišlo odhaleniu a skomplikovala sa analýza, zadné vrátka oneskorujú doručenie dát približne o dva a pol mesiaca po počiatočnej kontrole zariadenia. Útočníci sa ako infraštruktúru pre doručovanie obsahu spoliehajú na Alibaba Cloud.

Škodlivé moduly: monetizácia, únos a reklamné podvody

Keenadu funguje ako modulárna platforma pre malvér, ktorá dokáže nasadiť rôzne špecializované komponenty. Medzi identifikované moduly patria:

  • Keenadu Loader je zameraný na populárne platformy elektronického obchodu, ako sú Amazon, Shein a Temu, a potenciálne umožňuje neoprávnenú manipuláciu s nákupným košíkom.
  • Clicker Loader bol vložený do aplikácií ako YouTube, Facebook, Google Digital Wellbeing a spúšťača systému Android, aby podvodne interagoval s reklamnými prvkami.
  • Modul prehliadača Google Chrome, ktorý je zameraný na únos vyhľadávacích dopytov a ich presmerovanie na alternatívne vyhľadávače, hoci automatické dopĺňanie môže niekedy pokus o únos narušiť.
  • Nova Clicker, zabudovaný do výberu tapiet systému, využívajúci strojové učenie a WebRTC na interakciu s reklamným obsahom. Tento komponent bol predtým analyzovaný spoločnosťou Doctor Web pod kódovým označením Phantom.
  • Nainštalujte modul monetizácie, ktorý je zabudovaný do spúšťača systému a generuje podvodné príjmy z reklamy nesprávnym pripisovaním inštalácií aplikácií.
  • Modul Google Play, ktorý načíta reklamné ID služby Google Ads a uloží ho pod kľúčom „S_GA_ID3“ na účely sledovania naprieč modulmi a identifikácie obetí.

Zatiaľ čo sa súčasné operačné zameranie sústreďuje na reklamné podvody, flexibilita rámca predstavuje v budúcnosti značný potenciál pre krádež poverení a rozšírenie škodlivých operácií.

Rozširovanie distribučných kanálov a prepojení ekosystémov

Okrem implantácie na úrovni firmvéru boli pozorované aj ďalšie distribučné vektory. Zavádzací program Keenadu bol zabudovaný do základných systémových aplikácií, ako sú služby rozpoznávania tváre a spúšťače. Podobné taktiky boli predtým spojené s programom Dwphon, ktorý sa zameriaval na mechanizmy OTA aktualizácií.

Ďalšia pozorovaná metóda zahŕňa prevádzku v systémoch, ktoré už boli napadnuté samostatným predinštalovaným zadným vrátkom pripomínajúcim BADBOX. Medzi Triada a BADBOX sa tiež zistilo prekrývanie infraštruktúry, čo naznačuje spoluprácu botnetov. V marci 2025 sa objavili ďalšie prepojenia medzi BADBOX a Vo1d, ktoré boli zamerané na zariadenia Android TV iných značiek.

Vozík Keenadu sa distribuoval aj prostredníctvom trójskych koní, ktoré boli napadnuté aplikáciami inteligentných fotoaparátov a ktoré boli zverejnené na Google Play spoločnosťou Hangzhou Denghong Technology Co., Ltd. Medzi postihnuté aplikácie patrili:

  • Eoolii (com.taismart.global) – viac ako 100 000 stiahnutí
  • Ziicam (com.ziicam.aws) – viac ako 100 000 stiahnutí
  • Eyeplus – Váš domov vo vašich očiach (com.closeli.eyeplus) – viac ako 100 000 stiahnutí

Tieto aplikácie boli následne odstránené z obchodu Google Play. Ekvivalentné verzie boli publikované aj v obchode Apple App Store; varianty pre iOS však neobsahovali škodlivý kód, čo potvrdzuje záver, že Keenadu je špeciálne navrhnutý tak, aby zacielil na tablety so systémom Android.

Bezpečnostné dôsledky: Hrozba pre základný model dôveryhodnosti systému Android

Keenadu predstavuje vážnu hrozbu kvôli svojej integrácii do knižnice libandroid_runtime.so, čo mu umožňuje fungovať v kontexte každej aplikácie. To efektívne podkopáva model sandboxu systému Android a poskytuje skrytý prístup ku všetkým údajom zariadenia.

Jeho schopnosť obísť štandardné kontroly oprávnení transformuje malvér na plnohodnotné zadné vrátka s neobmedzenými oprávneniami na úrovni systému. Sofistikovanosť implementácie demonštruje pokročilé znalosti v oblasti architektúry systému Android, správy životného cyklu aplikácií a základných bezpečnostných mechanizmov.

Keenadu vyniká ako rozsiahla a vysoko komplexná platforma škodlivého softvéru schopná poskytovať trvalú a prispôsobivú kontrolu nad napadnutými zariadeniami. Hoci sa v súčasnosti využíva predovšetkým na reklamné podvody, jej architektonická hĺbka naznačuje vierohodné riziko eskalácie smerom ku krádeži prihlasovacích údajov a širším kyberzločineckým operáciám.

Trendy

CIMB Bank – Podvod s prevodom na váš účet...

Phishing, Spam
Neočakávané e-maily, ktoré údajne zahŕňajú finančné transakcie, si vyžadujú mimoriadnu opatrnosť, pretože sa často používajú na manipuláciu príjemcov, aby urobili nákladné chyby. Zostať ostražitý pri riešení nevyžiadaných správ je nevyhnutné, najmä ak nútia používateľov kontrolovať platby alebo overovať účty. E-maily s textom „CIMB Bank – Prevod na váš účet“ patria priamo do tejto kategórie a...

Najviac videné

Načítava...