Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular Keenadu Backdoor

Keenadu Backdoor

Nga MezoMalware celular, Dyer të pasme
Përkthe në:

Një derë e pasme e sofistikuar për Android, e njohur si Keenadu, është identifikuar e ngulitur thellë brenda firmware-it të pajisjes, duke mundësuar mbledhjen e heshtur të të dhënave dhe kontrollin në distancë të sistemeve të infektuara. Studiuesit e sigurisë zbuluan kërcënimin në firmware-in e lidhur me shumë shitës, përfshirë Alldocube, me prova që tregojnë se komprometimi ndodhi gjatë fazës së ndërtimit të firmware-it. Keenadu ka qenë i pranishëm në firmware-in për Alldocube iPlay 50 mini Pro që të paktën nga 18 gushti 2023.

Në çdo rast të konfirmuar, kodi keqdashës ndodhej brenda imazheve të firmware-it të tabletit që mbanin nënshkrime dixhitale të vlefshme, duke përforcuar mundësinë e kompromentimit të zinxhirit të furnizimit. Disa paketa firmware të infektuara u shpërndanë nëpërmjet përditësimeve ajrore (OTA). Pasi instalohet, "backdoor" injekton veten në hapësirën e kujtesës së çdo aplikacioni gjatë nisjes, duke vepruar si një ngarkues shumëfazor që u jep sulmuesve kontroll të pakufizuar në distancë mbi pajisjen.

Telemetria tregon se 13,715 përdorues në të gjithë botën kanë hasur Keenadu ose modulet e lidhura me të. Përqendrimi më i lartë i infeksioneve është vërejtur në Rusi, Japoni, Gjermani, Brazil dhe Holandë.

Manipulimi i Thellë i Sistemit: Shfrytëzimi i Proceseve Thelbësore të Android-it

Keenadu u zbulua publikisht në fund të dhjetorit 2025 dhe u përshkrua si një derë e pasme e implantuar brenda libandroid_runtime.so, një bibliotekë kritike e përbashkët e ngarkuar gjatë procesit të nisjes së Android. Pasi të jetë aktiv, malware injekton veten në procesin Zygote, një sjellje e vërejtur më parë në malware-in Android Triada.

Rutina keqdashëse aktivizohet nëpërmjet një funksioni të futur në libandroid_runtime.so. Së pari verifikon nëse po ekzekutohet brenda aplikacioneve të sistemit të lidhura me shërbimet e Google ose operatorët celularë si Sprint dhe T-Mobile; nëse po, ekzekutimi ndalet. Një çelës i integruar i vrasjes gjithashtu e ndërpret keqdashësin kur zbulohen emra specifikë skedarësh në drejtoritë e sistemit.

Pastaj, dera e pasme kontrollon nëse po vepron brenda procesit të privilegjuar system_server, i cili rregullon funksionalitetin bazë të sistemit dhe niset nga Zygote gjatë nisjes. Në varësi të mjedisit, programi keqdashës inicializon një nga dy komponentët:

  • AKServer, i cili përmban logjikën dhe motorin kryesor të ekzekutimit të komandës dhe kontrollit (C2).
  • AKClient, i cili injektohet në çdo aplikacion të nisur dhe vepron si një urë komunikimi me AKServer

Kjo arkitekturë u lejon sulmuesve të përshtasin ngarkesat keqdashëse për aplikacione specifike. Komponenti i serverit mund të japë ose të revokojë lejet e aplikacionit, të rikuperojë të dhënat e gjeo-lokacionit dhe të nxjerrë informacionin e pajisjes. Masat shtesë mbrojtëse sigurojnë që programi keqdashës të ndërpritet nëse gjuha e pajisjes është vendosur në kinezisht brenda një zone kohore kineze ose nëse mungojnë Google Play Store ose Shërbimet Google Play.

Pas përmbushjes së kritereve operative, Keenadu dekripton adresën e tij C2 dhe transmeton meta të dhëna të enkriptuara të pajisjes. Serveri përgjigjet me një konfigurim JSON të enkriptuar që detajon ngarkesat e disponueshme. Për të shmangur zbulimin dhe për të komplikuar analizën, backdoor vonon dorëzimin e ngarkesës për afërsisht dy muaj e gjysmë pas regjistrimit fillestar të pajisjes. Sulmuesit mbështeten në Alibaba Cloud si infrastrukturën e tyre të dorëzimit të përmbajtjes.

Module keqdashëse: Monetizimi, rrëmbimi dhe mashtrimi me reklama

Keenadu funksionon si një platformë modulare e programeve keqdashëse e aftë të vendosë komponentë të ndryshëm të specializuar. Modulet e identifikuara përfshijnë si në vijim:

  • Keenadu Loader synon platformat e njohura të tregtisë elektronike si Amazon, Shein dhe Temu, duke mundësuar potencialisht manipulimin e paautorizuar të shportës.
  • Clicker Loader u injektua në aplikacione të tilla si YouTube, Facebook, Google Digital Wellbeing dhe lëshuesi i sistemit Android për të bashkëvepruar në mënyrë mashtruese me elementët e reklamave.
  • Moduli i Google Chrome që synon Google Chrome për të rrëmbyer pyetjet e kërkimit dhe për t'i ridrejtuar ato në motorë kërkimi alternativë, megjithëse përzgjedhjet e plotësimit automatik ndonjëherë mund të ndërpresin përpjekjen e rrëmbimit.
  • Nova Clicker, i integruar brenda zgjedhësit të sfondit të sistemit dhe duke përdorur të mësuarit automatik dhe WebRTC për t'u angazhuar me përmbajtjen reklamuese. Ky komponent është analizuar më parë nën emrin e koduar Phantom nga Doctor Web.
  • Instaloni Modulin e Monetizimit, të integruar në lëshuesin e sistemit për të gjeneruar të ardhura mashtruese nga reklamat duke i atribuuar gabimisht instalimet e aplikacioneve.
  • Moduli Google Play, i cili merr ID-në e reklamimit të Google Ads dhe e ruan atë nën çelësin 'S_GA_ID3' për gjurmimin ndërmodulor dhe identifikimin e viktimës.

Ndërsa fokusi aktual operativ përqendrohet në mashtrimin me reklamat, fleksibiliteti i kornizës paraqet potencial të konsiderueshëm për vjedhjen e kredencialeve dhe zgjerimin e operacioneve keqdashëse në të ardhmen.

Zgjerimi i Kanaleve të Shpërndarjes dhe Lidhjeve të Ekosistemit

Përtej implantimit në nivel firmware-i, janë vërejtur vektorë të tjerë shpërndarjeje. Ngarkuesi Keenadu është integruar brenda aplikacioneve kryesore të sistemit, siç janë shërbimet e njohjes së fytyrës dhe lëshuesit. Taktika të ngjashme ishin të lidhura më parë me Dwphon, i cili synonte mekanizmat e përditësimit OTA.

Një metodë tjetër e vëzhguar përfshin funksionimin brenda sistemeve të kompromentuara tashmë nga një derë e pasme e parainstaluar e veçantë që i ngjan BADBOX. Mbivendosje të infrastrukturës janë identifikuar gjithashtu midis Triada dhe BADBOX, duke sugjeruar bashkëpunimin e botnet-it. Në mars të vitit 2025, dolën lidhje të mëtejshme midis BADBOX dhe Vo1d, të cilat synonin pajisjet Android TV jashtë markës.

Keenadu është shpërndarë gjithashtu përmes aplikacioneve të kamerave inteligjente të infektuara me trojan, të publikuara në Google Play nga Hangzhou Denghong Technology Co., Ltd. Aplikacionet e prekura përfshinin:

  • Eoolii (com.taismart.global) – mbi 100,000 shkarkime
  • Ziicam (com.ziicam.aws) – mbi 100,000 shkarkime
  • Eyeplus – Shtëpia juaj në sytë tuaj (com.closeli.eyeplus) – mbi 100,000 shkarkime

Këto aplikacione janë hequr që atëherë nga Google Play. Versione ekuivalente u publikuan gjithashtu në Apple App Store; megjithatë, variantet e iOS nuk përmbanin kod të dëmshëm, duke përforcuar përfundimin se Keenadu është projektuar posaçërisht për të synuar tabletët Android.

Implikimet e Sigurisë: Një Kërcënim për Modelin Thelbësor të Besimit të Android-it

Keenadu përfaqëson një kërcënim serioz për shkak të integrimit të tij brenda libandroid_runtime.so, duke i lejuar atij të funksionojë brenda kontekstit të çdo aplikacioni. Kjo në mënyrë efektive dëmton modelin sandboxing të Android dhe ofron akses të fshehtë në të gjitha të dhënat e pajisjes.

Kapaciteti i tij për të anashkaluar kontrollet standarde të lejeve e transformon malware-in në një derë të plotë të pasme me autoritet të pakufizuar në nivel sistemi. Sofistikimi i implementimit tregon ekspertizë të përparuar në arkitekturën Android, menaxhimin e ciklit jetësor të aplikacioneve dhe mekanizmat thelbësorë të sigurisë.

Keenadu shquhet si një platformë malware në shkallë të gjerë dhe shumë komplekse, e aftë të ofrojë kontroll të vazhdueshëm dhe të adaptueshëm mbi pajisjet e kompromentuara. Edhe pse aktualisht përdoret kryesisht për mashtrime reklamuese, thellësia e saj arkitekturore sugjeron një rrezik të besueshëm të përshkallëzimit drejt vjedhjes së kredencialeve dhe operacioneve më të gjera kriminale kibernetike.

Në trend

CIMB Bank - Transferim në Llogarinë Tuaj me Mashtrim...

Fishing, Spam
Emailet e papritura që pretendojnë se përfshijnë transaksione financiare kërkojnë kujdes shtesë, pasi ato përdoren shpesh për të manipuluar marrësit që të bëjnë gabime të kushtueshme. Të qëndrosh vigjilent kur merresh me mesazhe të padëshiruara është thelbësore, veçanërisht kur ato i bëjnë presion përdoruesve të rishikojnë pagesat ose të verifikojnë llogaritë. Emailet 'CIMB Bank – Transfero në...

Më e shikuara

Po ngarkohet...