Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Keenadu bakdörr

Keenadu bakdörr

Med Mezo år Mobil skadlig programvara, Bakdörrar
Översätt till:

En sofistikerad Android-bakdörr, känd som Keenadu, har identifierats inbäddad djupt i enhetens firmware, vilket möjliggör tyst datainsamling och fjärrstyrning av infekterade system. Säkerhetsforskare upptäckte hotet i firmware kopplad till flera leverantörer, inklusive Alldocube, med bevis som visar att komprometteringen inträffade under firmware-byggfasen. Keenadu har funnits i firmware för Alldocube iPlay 50 mini Pro sedan åtminstone den 18 augusti 2023.

I varje bekräftat fall fanns den skadliga koden i avbildningar av surfplattors firmware som innehöll giltiga digitala signaturer, vilket förstärkte sannolikheten för att leveranskedjan skulle komprometteras. Vissa infekterade firmwarepaket distribuerades via OTA-uppdateringar (over-the-air). När bakdörren väl är installerad injicerar den sig själv i minnesutrymmet för varje applikation vid start och fungerar som en flerstegsladdare som ger angripare obegränsad fjärrkontroll över enheten.

Telemetri visar att 13 715 användare världen över har stött på Keenadu eller dess tillhörande moduler. Den högsta koncentrationen av infektioner har observerats i Ryssland, Japan, Tyskland, Brasilien och Nederländerna.

Djupgående systemmanipulation: Utnyttjande av Android-kärnprocesser

Keenadu offentliggjordes i slutet av december 2025 och beskrevs som en bakdörr implanterad i libandroid_runtime.so, ett kritiskt delat bibliotek som laddades under Android-startprocessen. När den är aktiv injicerar sig skadlig programvara i Zygote-processen, ett beteende som tidigare observerats i Android-skadlig programvaran Triada.

Den skadliga rutinen utlöses genom en funktion som infogas i libandroid_runtime.so. Den verifierar först om den körs inuti systemapplikationer som är associerade med Googles tjänster eller mobiloperatörer som Sprint och T-Mobile; om så är fallet stoppas körningen. En inbyggd kill switch avslutar också skadlig programvara när specifika filnamn upptäcks i systemkataloger.

Bakdörren kontrollerar sedan om den fungerar inom den privilegierade system_server-processen, som styr kärnsystemets funktionalitet och startas av Zygote under uppstart. Beroende på miljön initierar skadlig programvara en av två komponenter:

  • AKServer, som innehåller den centrala kommando-och-kontroll (C2) logiken och exekveringsmotorn
  • AKClient, som injiceras i varje startad applikation och fungerar som en kommunikationsbrygga till AKServer

Denna arkitektur gör det möjligt för angripare att skräddarsy skadliga nyttolaster till specifika applikationer. Serverkomponenten kan bevilja eller återkalla appbehörigheter, hämta geolokaliseringsdata och stjäla enhetsinformation. Ytterligare skyddsåtgärder säkerställer att skadlig kod avslutas om enhetens språk är inställt på kinesiska inom en kinesisk tidszon, eller om Google Play Butik eller Google Play-tjänster saknas.

När Keenadu uppfyller operativa kriterier dekrypterar den sin C2-adress och överför krypterade enhetsmetadata. Servern svarar med en krypterad JSON-konfiguration som specificerar tillgängliga nyttolaster. För att undvika upptäckt och komplicera analysen fördröjer bakdörren leveransen av nyttolaster i ungefär två och en halv månad efter den initiala enhetsincheckningen. Angriparna förlitar sig på Alibaba Cloud som sin infrastruktur för innehållsleverans.

Skadliga moduler: Monetisering, kapning och annonsbedrägerier

Keenadu fungerar som en modulär plattform för skadlig kod som kan distribuera olika specialiserade komponenter. Identifierade moduler inkluderar följande:

  • Keenadu Loader riktar in sig på populära e-handelsplattformar som Amazon, Shein och Temu, vilket potentiellt möjliggör obehörig manipulation av varukorgar.
  • Clicker Loader injicerades i applikationer som YouTube, Facebook, Google Digital Wellbeing och Android-systemets launcher för att interagera bedrägligt med reklamelement.
  • Google Chrome-modulen riktar in sig på Google Chrome för att kapa sökfrågor och omdirigera dem till alternativa sökmotorer, även om autoslutförande-val ibland kan störa kapningsförsöket.
  • Nova Clicker, inbäddad i systemets bakgrundsbildsväljare och utnyttjar maskininlärning och WebRTC för att interagera med annonsinnehåll. Denna komponent analyserades tidigare under kodnamnet Phantom av Doctor Web.
  • Installera intäktsgenereringsmodulen, inbäddad i systemstartaren, för att generera bedrägliga annonsintäkter genom att felaktigt tillskriva programinstallationer.
  • Google Play-modulen, som hämtar Google Ads-annons-ID:t och lagrar det under nyckeln 'S_GA_ID3' för spårning mellan moduler och identifiering av offer.

Medan det nuvarande operativa fokuset är inriktat på reklambedrägerier, innebär ramverkets flexibilitet betydande potential för stöld av autentiseringsuppgifter och utökad skadlig verksamhet i framtiden.

Utöka distributionskanaler och ekosystemlänkar

Utöver implantation på firmware-nivå har ytterligare distributionsvektorer observerats. Keenadu-laddaren har bäddats in i kärnsystemapplikationer som ansiktsigenkänningstjänster och launchers. Liknande taktiker förknippades tidigare med Dwphon, som riktade sig mot OTA-uppdateringsmekanismer.

En annan observerad metod involverar drift inom system som redan komprometterats av en separat förinstallerad bakdörr som liknar BADBOX. Infrastrukturöverlappningar har också identifierats mellan Triada och BADBOX, vilket tyder på botnätssamarbete. I mars 2025 uppstod ytterligare kopplingar mellan BADBOX och Vo1d, som riktade sig mot Android TV-enheter av andra varumärken.

Keenadu har också distribuerats via trojanska smartkameraappar publicerade på Google Play av Hangzhou Denghong Technology Co., Ltd. De berörda apparna inkluderade:

  • Eoolii (com.taismart.global) – över 100 000 nedladdningar
  • Ziicam (com.ziicam.aws) – över 100 000 nedladdningar
  • Eyeplus – Ditt hem i dina ögon (com.closeli.eyeplus) – över 100 000 nedladdningar

Dessa appar har sedan dess tagits bort från Google Play. Motsvarande versioner publicerades också i Apple App Store; iOS-varianterna innehöll dock ingen skadlig kod, vilket förstärker slutsatsen att Keenadu är specifikt utformad för att rikta in sig på Android-surfplattor.

Säkerhetskonsekvenser: Ett hot mot Androids kärnförtroendemodell

Keenadu utgör ett allvarligt hot på grund av sin integration i libandroid_runtime.so, vilket gör att det kan fungera inom ramen för varje applikation. Detta undergräver effektivt Androids sandlådemodell och ger hemlig åtkomst till all enhetsdata.

Dess förmåga att kringgå standardbehörighetskontroller förvandlar skadlig programvara till en fullfjädrad bakdörr med obegränsad behörighet på systemnivå. Implementeringens sofistikering visar på avancerad expertis inom Android-arkitektur, applikationslivscykelhantering och centrala säkerhetsmekanismer.

Keenadu utmärker sig som en storskalig och mycket komplex plattform för skadlig kod som kan ge ihållande och anpassningsbar kontroll över komprometterade enheter. Även om den för närvarande främst används för reklambedrägerier, tyder dess arkitekturdjup på en trovärdig risk för eskalering mot stöld av autentiseringsuppgifter och bredare cyberkriminella operationer.

Trendigt

CIMB Bank - E-postbedrägeri om överföring till ditt...

Nätfiske, Spam
Oväntade e-postmeddelanden som påstår sig involvera finansiella transaktioner kräver extra försiktighet, eftersom de ofta används för att manipulera mottagare till att göra kostsamma misstag. Att vara uppmärksam när man hanterar oönskade meddelanden är avgörande, särskilt när de pressar användare att granska betalningar eller verifiera konton. E-postmeddelandena "CIMB Bank – Transfer To Your...

Mest sedda

Läser in...