Попуст за више лиценци
Тхреат Датабасе Мобиле Малваре Кинаду задња врата

Кинаду задња врата

До Mezo. у Мобиле Малваре, Бацкдоорс
Преведи на:

Софистицирани Андроид бекдор познат као Keenadu идентификован је дубоко уграђен у фирмвер уређаја, омогућавајући тихо прикупљање података и даљинско управљање зараженим системима. Истраживачи безбедности открили су претњу у фирмверу повезаном са више произвођача, укључујући Alldocube, са доказима који показују да се компромитовање догодило током фазе израде фирмвера. Keenadu је присутан у фирмверу за Alldocube iPlay 50 mini Pro најмање од 18. августа 2023. године.

У сваком потврђеном случају, злонамерни код се налазио унутар слика фирмвера таблета које су садржале важеће дигиталне потписе, што је повећало вероватноћу компромитовања ланца снабдевања. Неки заражени пакети фирмвера дистрибуирани су путем ажурирања путем интернета (OTA). Једном инсталиран, малициозни програм се убризгава у меморијски простор сваке апликације при покретању, функционишући као вишестепени програм за учитавање који нападачима даје неограничену даљинску контролу над уређајем.

Телеметрија показује да је 13.715 корисника широм света наишло на Keenadu или његове повезане модуле. Највећа концентрација инфекција примећена је у Русији, Јапану, Немачкој, Бразилу и Холандији.

Дубока манипулација системом: Искоришћавање основних Андроид процеса

Кинаду је јавно откривен крајем децембра 2025. године и описан је као задња врата имплантирана унутар libandroid_runtime.so, критичне дељене библиотеке која се учитава током процеса покретања Андроида. Једном активан, злонамерни софтвер се убризгава у процес Zygote, понашање које је раније примећено код злонамерног софтвера Triada за Андроид.

Злонамерна рутина се покреће путем функције уметнуте у libandroid_runtime.so. Прво проверава да ли се извршава унутар системских апликација повезаних са Google услугама или мобилним оператерима као што су Sprint и T-Mobile; ако јесте, извршавање се зауставља. Уграђени прекидач за искључивање такође зауставља злонамерни софтвер када се одређена имена датотека открију у системским директоријумима.

Задња врата затим проверавају да ли раде унутар привилегованог процеса system_server, који управља основним функцијама система и који покреће Zygote током покретања система. У зависности од окружења, злонамерни софтвер иницијализује једну од две компоненте:

  • AKServer, који садржи основну логику командовања и контроле (C2) и механизам за извршавање
  • AKClient, који се убризгава у сваку покренуту апликацију и делује као комуникациони мост ка AKServer-у

Ова архитектура омогућава нападачима да прилагоде злонамерне садржаје одређеним апликацијама. Серверска компонента може да одобрава или опозове дозволе апликацијама, преузима податке о геолокацији и извлачи информације о уређају. Додатне мере заштите осигуравају да се злонамерни софтвер заустави ако је језик уређаја подешен на кинески у кинеској временској зони или ако Google Play продавница или Google Play услуге нису доступне.

Након испуњавања оперативних критеријума, Keenadu дешифрује своју C2 адресу и преноси шифроване метаподатке уређаја. Сервер одговара шифрованом JSON конфигурацијом са детаљима о доступним корисним теретима. Да би избегао откривање и закомпликовао анализу, бекдор одлаже испоруку корисних података отприлике два и по месеца након почетне пријаве уређаја. Нападачи се ослањају на Alibaba Cloud као своју инфраструктуру за испоруку садржаја.

Злонамерни модули: Монетизација, отимање система и превара са огласима

Keenadu функционише као модуларна платформа за злонамерни софтвер способна да примењује разне специјализоване компоненте. Идентификовани модули укључују следеће:

  • Keenadu Loader циља популарне платформе за електронску трговину као што су Amazon, Shein и Temu, потенцијално омогућавајући неовлашћену манипулацију корпом.
  • Кликер Лоадер је убризган у апликације као што су Јутјуб, Фејсбук, Гугл Дигитал Велбиинг и покретач Андроид система како би преварантски интераговао са рекламним елементима.
  • Google Chrome модул који циља Google Chrome да би отео упите за претрагу и преусмерио их на алтернативне претраживаче, мада аутоматско довршавање избора понекад може да омета покушај отимања.
  • Нова Кликер, уграђен у системски бирач позадина и који користи машинско учење и WebRTC за интеракцију са рекламним садржајем. Ову компоненту је претходно анализирао Доктор Веб под кодним називом Фантом.
  • Инсталирајте модул за монетизацију, уграђен у покретач система, како бисте генерисали лажни приход од оглашавања погрешним приписивањем инсталација апликација.
  • Google Play модул, који преузима Google Ads ИД оглашавања и чува га под кључем „S_GA_ID3“ за праћење између модула и идентификацију жртава.

Иако је тренутни оперативни фокус усмерен на превару у оглашавању, флексибилност оквира представља значајан потенцијал за крађу акредитива и проширене злонамерне операције у будућности.

Проширење дистрибутивних канала и веза екосистема

Поред имплантације на нивоу фирмвера, примећени су додатни вектори дистрибуције. Кинаду учитавач је уграђен у основне системске апликације као што су сервиси за препознавање лица и лансери. Сличне тактике су раније биле повезане са Двфоном, који је циљао механизме ОТА ажурирања.

Још једна примећена метода укључује рад унутар система који су већ угрожени засебним, унапред инсталираним бекдором сличним BADBOX-у. Такође су идентификована преклапања инфраструктуре између Triada-е и BADBOX-а, што указује на сарадњу ботнета. У марту 2025. године, појавиле су се даље везе између BADBOX-а и Vo1d-а, које су циљале Android TV уређаје других брендова.

Кинаду се такође дистрибуирао путем тројанских апликација за паметне камере које је на Google Play-у објавила компанија Hangzhou Denghong Technology Co., Ltd. Погођене апликације су укључивале:

  • Eoolii (com.taismart.global) – преко 100.000 преузимања
  • Ziicam (com.ziicam.aws) – преко 100.000 преузимања
  • Eyeplus – Ваш дом у вашим очима (com.closeli.eyeplus) – преко 100.000 преузимања

Ове апликације су од тада уклоњене са Google Play-а. Еквивалентне верзије су такође објављене на Apple App Store-у; међутим, iOS варијанте нису садржале злонамерни код, што потврђује закључак да је Keenadu посебно дизајниран да циља Android таблете.

Безбедносне импликације: Претња основном моделу поверења Андроида

Кинаду представља озбиљну претњу због своје интеграције у libandroid_runtime.so, што му омогућава да ради у контексту сваке апликације. Ово ефикасно поткопава Андроидов модел „пешчаника“ и пружа тајни приступ свим подацима уређаја.

Његова способност да заобиђе стандардне контроле дозвола трансформише злонамерни софтвер у пуноправни бекдор са неограниченим овлашћењима на нивоу система. Софистицираност имплементације демонстрира напредну стручност у Андроид архитектури, управљању животним циклусом апликација и основним безбедносним механизмима.

Кинаду се истиче као велика и веома сложена платформа за злонамерни софтвер способна да пружи трајну и прилагодљиву контролу над угроженим уређајима. Иако се тренутно првенствено користи за рекламне преваре, њена архитектонска дубина указује на веродостојан ризик од ескалације ка крађи акредитива и ширим сајбер криминалним операцијама.

У тренду

CIMB банка - Превара путем е-поште са трансфером на...

Пецање, Спам
Неочекивани имејлови који тврде да укључују финансијске трансакције захтевају додатни опрез, јер се често користе за манипулацију примаоцима да наведу на скупе грешке. Остајање на опрезу при раду са непожељним порукама је кључно, посебно када врше притисак на кориснике да прегледају плаћања или верификују рачуне. Имејлови „CIMB банка – Трансфер на ваш рачун“ потпуно спадају у ову категорију и...

Најгледанији

Злонамерних програма

Пецање, Спам
25,820
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...