Popust za več licenc
Podjetje o grožnjah Mobilna zlonamerna programska oprema Zadnja vrata Keenadu

Zadnja vrata Keenadu

Do leta Mezo leta Mobilna zlonamerna programska oprema, Zadnja vrata
Prevedi v:

Globoko v vdelani programski opremi naprave so odkrili sofisticirana zadnja vrata za Android, znana kot Keenadu, ki omogočajo tiho zbiranje podatkov in oddaljeno upravljanje okuženih sistemov. Varnostni raziskovalci so odkrili grožnjo v vdelani programski opremi, povezani z več prodajalci, vključno z Alldocube, z dokazi, ki kažejo, da je do vdora prišlo med fazo izdelave vdelane programske opreme. Keenadu je prisoten v vdelani programski opremi za Alldocube iPlay 50 mini Pro vsaj od 18. avgusta 2023.

V vsakem potrjenem primeru se je zlonamerna koda nahajala v slikah vdelane programske opreme tabličnih računalnikov, ki so vsebovale veljavne digitalne podpise, kar je povečalo verjetnost ogroženosti dobavne verige. Nekateri okuženi paketi vdelane programske opreme so bili distribuirani prek posodobitev po brezžičnem omrežju (OTA). Ko je nameščena, se zadnja vrata ob zagonu vbrizgajo v pomnilniški prostor vsake aplikacije in delujejo kot večstopenjski nalagalnik, ki napadalcem omogoča neomejen oddaljeni nadzor nad napravo.

Telemetrija kaže, da je 13.715 uporabnikov po vsem svetu naletelo na program Keenadu ali z njim povezane module. Najvišja koncentracija okužb je bila opažena v Rusiji, na Japonskem, v Nemčiji, Braziliji in na Nizozemskem.

Globoka manipulacija sistema: izkoriščanje ključnih procesov Androida

Zlonamerna programska oprema Keenadu je bila javno razkrita konec decembra 2025 in opisana kot zadnja vrata, vsajena v libandroid_runtime.so, ključno deljeno knjižnico, ki se naloži med zagonom sistema Android. Ko je aktivna, se zlonamerna programska oprema vbrizga v proces Zygote, kar je bilo prej opaženo pri zlonamerni programski opremi za Android Triada.

Zlonamerna rutina se sproži s funkcijo, vstavljeno v libandroid_runtime.so. Najprej preveri, ali se izvaja znotraj sistemskih aplikacij, povezanih z Googlovimi storitvami ali mobilnimi operaterji, kot sta Sprint in T-Mobile; če je tako, se izvajanje ustavi. Vgrajeno stikalo za zaustavitev delovanja prav tako prekine zlonamerno programsko opremo, ko so v sistemskih imenikih zaznana določena imena datotek.

Zadnja vrata nato preverijo, ali delujejo znotraj privilegiranega procesa system_server, ki upravlja osnovno funkcionalnost sistema in ga Zygote zažene med zagonom. Glede na okolje zlonamerna programska oprema inicializira eno od dveh komponent:

  • AKServer, ki vsebuje osrednji mehanizem za logiko ukazov in nadzora (C2) in izvajanje.
  • AKClient, ki se vbrizga v vsako zagnano aplikacijo in deluje kot komunikacijski most do AKServerja

Ta arhitektura napadalcem omogoča, da zlonamerne koristne obremenitve prilagodijo določenim aplikacijam. Strežniška komponenta lahko odobri ali prekliče dovoljenja za aplikacije, pridobi podatke o geolokaciji in izvleče podatke o napravi. Dodatni zaščitni ukrepi zagotavljajo, da se zlonamerna programska oprema prekine, če je jezik naprave nastavljen na kitajščino znotraj kitajskega časovnega pasu ali če trgovina Google Play ali storitve Google Play niso na voljo.

Ko Keenadu izpolni operativne kriterije, dešifrira svoj naslov C2 in pošlje šifrirane metapodatke naprave. Strežnik odgovori s šifrirano konfiguracijo JSON, ki podrobno opisuje razpoložljive koristne tovore. Da bi se izognili odkrivanju in otežili analizo, zadnja vrata odložijo dostavo koristnih tovorov za približno dva meseca in pol po začetni prijavi naprave. Napadalci se kot infrastrukturo za dostavo vsebin zanašajo na Alibaba Cloud.

Zlonamerni moduli: monetizacija, ugrabitev in oglaševalske goljufije

Keenadu deluje kot modularna platforma za zlonamerno programsko opremo, ki lahko uporablja različne specializirane komponente. Med identificiranimi moduli so naslednji:

  • Keenadu Loader cilja na priljubljene platforme za e-trgovino, kot so Amazon, Shein in Temu, kar lahko omogoča nepooblaščeno manipulacijo nakupovalnih košaric.
  • Clicker Loader je bil vbrizgan v aplikacije, kot so YouTube, Facebook, Google Digital Wellbeing in zaganjalnik sistema Android, da bi goljufivo komuniciral z oglaševalskimi elementi.
  • Modul za Google Chrome, ki cilja na Google Chrome za ugrabitev iskalnih poizvedb in njihovo preusmeritev na alternativne iskalnike, čeprav lahko samodejno dokončanje izbir včasih zmoti poskus ugrabitve.
  • Nova Clicker, vgrajen v izbirnik ozadja sistema, ki izkorišča strojno učenje in WebRTC za interakcijo z oglasnimi vsebinami. To komponento je Doctor Web prej analiziral pod kodnim imenom Phantom.
  • Namestite modul za monetizacijo, vgrajen v zaganjalnik sistema, za ustvarjanje goljufivih prihodkov od oglaševanja z napačnim pripisovanjem namestitev aplikacij.
  • Modul Google Play, ki pridobi oglaševalski ID Google Ads in ga shrani pod ključem »S_GA_ID3« za sledenje med moduli in identifikacijo žrtev.

Čeprav se trenutni operativni poudarek osredotoča na oglaševalske goljufije, fleksibilnost ogrodja predstavlja velik potencial za krajo poverilnic in razširjene zlonamerne operacije v prihodnosti.

Širjenje distribucijskih kanalov in povezav ekosistemov

Poleg vgradnje na ravni vdelane programske opreme so bili opaženi tudi dodatni vektorji distribucije. Nalagalnik Keenadu je bil vgrajen v osrednje sistemske aplikacije, kot so storitve za prepoznavanje obrazov in zaganjalniki. Podobne taktike so bile prej povezane z Dwphonom, ki je ciljal na mehanizme posodabljanja OTA.

Druga opažena metoda vključuje delovanje znotraj sistemov, ki jih je že ogrozila ločena vnaprej nameščena zadnja vrata, podobna BADBOXU. Ugotovljena so bila tudi prekrivanja infrastrukture med Triado in BADBOXOM, kar kaže na sodelovanje botnetov. Marca 2025 so se pojavile nadaljnje povezave med BADBOXOM in Vo1d, ki so ciljale na naprave Android TV drugih blagovnih znamk.

Virus Keenadu se je distribuiral tudi prek okuženih aplikacij za pametne kamere, ki jih je v trgovini Google Play objavila družba Hangzhou Denghong Technology Co., Ltd. Med prizadetimi aplikacijami so bile:

  • Eoolii (com.taismart.global) – več kot 100.000 prenosov
  • Ziicam (com.ziicam.aws) – več kot 100.000 prenosov
  • Eyeplus – Vaš dom v vaših očeh (com.closeli.eyeplus) – več kot 100.000 prenosov

Te aplikacije so bile od takrat odstranjene iz trgovine Google Play. V trgovini Apple App Store so bile objavljene tudi enakovredne različice; vendar različice za iOS niso vsebovale zlonamerne kode, kar potrjuje sklep, da je Keenadu posebej zasnovan za napade na tablične računalnike Android.

Varnostne posledice: Grožnja modelu zaupanja Core v sistemu Android

Keenadu predstavlja resno grožnjo zaradi svoje integracije v libandroid_runtime.so, kar mu omogoča delovanje v kontekstu vsake aplikacije. To učinkovito spodkopava Androidov model peskovnika in omogoča prikrit dostop do vseh podatkov naprave.

Njegova zmožnost obhoda standardnih kontrol dovoljenj spremeni zlonamerno programsko opremo v polnopravna zadnja vrata z neomejenimi pooblastili na ravni sistema. Sofisticiranost implementacije dokazuje napredno strokovno znanje na področju arhitekture Androida, upravljanja življenjskega cikla aplikacij in osnovnih varnostnih mehanizmov.

Keenadu izstopa kot obsežna in zelo kompleksna platforma za zlonamerno programsko opremo, ki je sposobna zagotavljati trajen in prilagodljiv nadzor nad ogroženimi napravami. Čeprav se trenutno uporablja predvsem za oglaševalske goljufije, njena arhitekturna globina kaže na verodostojno tveganje za eskalacijo v krajo poverilnic in širše kibernetske kriminalne operacije.

V trendu

CIMB Bank - Prevara z nakazilom na vaš račun prek...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki naj bi vključevala finančne transakcije, zahtevajo dodatno previdnost, saj se pogosto uporabljajo za manipulacijo prejemnikov, da bi naredili drage napake. Pri obravnavanju neželenih sporočil je ključnega pomena ostati pozoren, zlasti kadar pritiskajo na uporabnike, da pregledajo plačila ali preverijo račune. E-poštna sporočila »CIMB Bank – Nakazilo na vaš...

Najbolj gledan

Nalaganje...