Keenadu Backdoor

கீநாடு எனப்படும் ஒரு அதிநவீன ஆண்ட்ராய்டு பின்புற கதவு, சாதன ஃபார்ம்வேரில் ஆழமாகப் பதிக்கப்பட்டிருப்பது அடையாளம் காணப்பட்டுள்ளது, இது அமைதியான தரவு சேகரிப்பு மற்றும் பாதிக்கப்பட்ட அமைப்புகளின் ரிமோட் கண்ட்ரோலை செயல்படுத்துகிறது. ஆல்டோகுயூப் உட்பட பல விற்பனையாளர்களுடன் இணைக்கப்பட்ட ஃபார்ம்வேரில் உள்ள அச்சுறுத்தலை பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டுபிடித்தனர், ஃபார்ம்வேர் உருவாக்க கட்டத்தில் சமரசம் ஏற்பட்டதைக் காட்டும் ஆதாரங்களுடன். குறைந்தது ஆகஸ்ட் 18, 2023 முதல் ஆல்டோகுயூப் ஐபிளே 50 மினி ப்ரோவிற்கான ஃபார்ம்வேரில் கீநாடு உள்ளது.

ஒவ்வொரு உறுதிப்படுத்தப்பட்ட நிகழ்விலும், செல்லுபடியாகும் டிஜிட்டல் கையொப்பங்களைக் கொண்ட டேப்லெட் ஃபார்ம்வேர் படங்களுக்குள் தீங்கிழைக்கும் குறியீடு தங்கியிருந்தது, இது விநியோகச் சங்கிலி சமரசத்திற்கான வாய்ப்பை வலுப்படுத்தியது. சில பாதிக்கப்பட்ட ஃபார்ம்வேர் தொகுப்புகள் ஓவர்-தி-ஏர் (OTA) புதுப்பிப்புகள் மூலம் விநியோகிக்கப்பட்டன. நிறுவப்பட்டதும், பின்புறக் கதவு துவக்கத்தில் ஒவ்வொரு பயன்பாட்டின் நினைவக இடத்திற்குள் தன்னைத்தானே செலுத்திக் கொள்கிறது, இது பல-நிலை ஏற்றியாக செயல்படுகிறது, இது தாக்குபவர்களுக்கு சாதனத்தின் மீது கட்டுப்பாடற்ற ரிமோட் கண்ட்ரோலை வழங்குகிறது.

உலகளவில் 13,715 பயனர்கள் கீநாடு அல்லது அதனுடன் தொடர்புடைய தொகுதிகளை எதிர்கொண்டதாக டெலிமெட்ரி குறிப்பிடுகிறது. ரஷ்யா, ஜப்பான், ஜெர்மனி, பிரேசில் மற்றும் நெதர்லாந்து ஆகிய நாடுகளில் அதிக அளவிலான தொற்றுகள் காணப்பட்டுள்ளன.

ஆழமான கணினி கையாளுதல்: முக்கிய ஆண்ட்ராய்டு செயல்முறைகளைப் பயன்படுத்துதல்

கீநாடு டிசம்பர் 2025 இன் பிற்பகுதியில் பகிரங்கமாக வெளியிடப்பட்டது, மேலும் இது libandroid_runtime.so க்குள் பொருத்தப்பட்ட ஒரு பின்கதவாக விவரிக்கப்பட்டது, இது Android துவக்க செயல்முறையின் போது ஏற்றப்படும் ஒரு முக்கியமான பகிரப்பட்ட நூலகமாகும். செயல்பட்டவுடன், தீம்பொருள் தன்னை Zygote செயல்முறையில் செலுத்துகிறது, இது முன்னர் Android தீம்பொருள் Triada இல் காணப்பட்ட நடத்தை.

libandroid_runtime.so இல் செருகப்பட்ட ஒரு செயல்பாட்டின் மூலம் தீங்கிழைக்கும் வழக்கம் தூண்டப்படுகிறது. இது முதலில் கூகிள் சேவைகளுடன் தொடர்புடைய சிஸ்டம் பயன்பாடுகளுக்குள் அல்லது ஸ்பிரிண்ட் மற்றும் டி-மொபைல் போன்ற மொபைல் கேரியர்களுக்குள் செயல்படுகிறதா என்பதை சரிபார்க்கிறது; அப்படியானால், செயல்படுத்தல் நிறுத்தப்படும். சிஸ்டம் டைரக்டரிகளில் குறிப்பிட்ட கோப்பு பெயர்கள் கண்டறியப்படும்போது, உள்ளமைக்கப்பட்ட கொலை சுவிட்சும் தீம்பொருளை நிறுத்துகிறது.

பின்னர் பின்கதவு, அது பிரதான அமைப்பின் செயல்பாட்டை நிர்வகிக்கும் மற்றும் துவக்கத்தின் போது Zygote ஆல் தொடங்கப்படும் சலுகை பெற்ற system_server செயல்முறைக்குள் செயல்படுகிறதா என்பதைச் சரிபார்க்கிறது. சூழலைப் பொறுத்து, தீம்பொருள் இரண்டு கூறுகளில் ஒன்றைத் துவக்குகிறது:

• AKServer, இது மைய கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) தர்க்கம் மற்றும் செயல்படுத்தல் இயந்திரத்தைக் கொண்டுள்ளது.
• AKClient, இது ஒவ்வொரு தொடங்கப்பட்ட பயன்பாட்டிலும் செலுத்தப்பட்டு AKServer உடன் தொடர்பு பாலமாக செயல்படுகிறது.

இந்த கட்டமைப்பு, தாக்குபவர்கள் குறிப்பிட்ட பயன்பாடுகளுக்கு ஏற்றவாறு தீங்கிழைக்கும் தரவுகளை மாற்றியமைக்க அனுமதிக்கிறது. சேவையக கூறு பயன்பாட்டு அனுமதிகளை வழங்கவோ அல்லது ரத்து செய்யவோ, புவிஇருப்பிடத் தரவை மீட்டெடுக்கவோ மற்றும் சாதனத் தகவலை வெளியேற்றவோ முடியும். சீன நேர மண்டலத்திற்குள் சாதன மொழி சீன மொழியில் அமைக்கப்பட்டாலோ அல்லது கூகிள் பிளே ஸ்டோர் அல்லது கூகிள் பிளே சேவைகள் இல்லாவிட்டாலும், கூடுதல் பாதுகாப்புகள் தீம்பொருள் முடிவடைவதை உறுதி செய்கின்றன.

செயல்பாட்டு அளவுகோல்களை பூர்த்தி செய்தவுடன், கீநாடு அதன் C2 முகவரியை மறைகுறியாக்கி, மறைகுறியாக்கப்பட்ட சாதன மெட்டாடேட்டாவை அனுப்புகிறது. சேவையகம் கிடைக்கக்கூடிய பேலோடுகளை விவரிக்கும் மறைகுறியாக்கப்பட்ட JSON உள்ளமைவுடன் பதிலளிக்கிறது. கண்டறிதலைத் தவிர்க்கவும் பகுப்பாய்வை சிக்கலாக்கவும், ஆரம்ப சாதன செக்-இன் செய்த பிறகு சுமார் இரண்டரை மாதங்களுக்கு பேலோடு டெலிவரியை பின்கதவு தாமதப்படுத்துகிறது. தாக்குபவர்கள் தங்கள் உள்ளடக்க விநியோக உள்கட்டமைப்பாக அலிபாபா கிளவுட்டை நம்பியுள்ளனர்.

தீங்கிழைக்கும் தொகுதிகள்: பணமாக்குதல், கடத்தல் மற்றும் விளம்பர மோசடி

கீநாடு பல்வேறு சிறப்பு கூறுகளை பயன்படுத்தக்கூடிய ஒரு மட்டு தீம்பொருள் தளமாக செயல்படுகிறது. அடையாளம் காணப்பட்ட தொகுதிகளில் பின்வருவன அடங்கும்:

• கீநாடு லோடர், அமேசான், ஷீன் மற்றும் டெமு போன்ற பிரபலமான மின்வணிக தளங்களை குறிவைத்து, அங்கீகரிக்கப்படாத வண்டி கையாளுதலை செயல்படுத்தும் சாத்தியக்கூறு உள்ளது.
• விளம்பர கூறுகளுடன் மோசடியாக தொடர்பு கொள்ள, கிளிக்கர் லோடர் யூடியூப், பேஸ்புக், கூகிள் டிஜிட்டல் வெல்பீயிங் மற்றும் ஆண்ட்ராய்டு சிஸ்டம் லாஞ்சர் போன்ற பயன்பாடுகளில் செலுத்தப்பட்டது.
• கூகிள் குரோம் தொகுதி, தேடல் வினவல்களை ஹைஜாக் செய்து மாற்று தேடுபொறிகளுக்கு திருப்பிவிட கூகிள் குரோமை இலக்காகக் கொண்டுள்ளது, இருப்பினும் தானியங்குநிரப்புதல் தேர்வுகள் சில நேரங்களில் ஹைஜாக் முயற்சியை சீர்குலைக்கலாம்.
• நோவா கிளிக்கர், சிஸ்டம் வால்பேப்பர் பிக்கரில் உட்பொதிக்கப்பட்டுள்ளது மற்றும் விளம்பர உள்ளடக்கத்தில் ஈடுபட இயந்திர கற்றல் மற்றும் WebRTC ஐப் பயன்படுத்துகிறது. இந்த கூறு முன்பு டாக்டர் வெப் மூலம் Phantom என்ற குறியீட்டுப் பெயரில் பகுப்பாய்வு செய்யப்பட்டது.
• பயன்பாட்டு நிறுவல்களை தவறாக விநியோகிப்பதன் மூலம் மோசடியான விளம்பர வருவாயை உருவாக்க, கணினி துவக்கியில் உட்பொதிக்கப்பட்ட பணமாக்குதல் தொகுதியை நிறுவவும்.
• கூகிள் ப்ளே தொகுதி, இது கூகிள் விளம்பர விளம்பர ஐடியை மீட்டெடுத்து, குறுக்கு-தொகுதி கண்காணிப்பு மற்றும் பாதிக்கப்பட்டவரை அடையாளம் காண 'S_GA_ID3' விசையின் கீழ் சேமிக்கிறது.

தற்போதைய செயல்பாட்டு கவனம் விளம்பர மோசடியை மையமாகக் கொண்டிருந்தாலும், கட்டமைப்பின் நெகிழ்வுத்தன்மை எதிர்காலத்தில் நற்சான்றிதழ் திருட்டு மற்றும் விரிவாக்கப்பட்ட தீங்கிழைக்கும் செயல்பாடுகளுக்கு குறிப்பிடத்தக்க ஆற்றலை முன்வைக்கிறது.

விநியோக சேனல்கள் மற்றும் சுற்றுச்சூழல் இணைப்புகளை விரிவுபடுத்துதல்

ஃபார்ம்வேர்-நிலை பொருத்துதலுக்கு அப்பால், கூடுதல் விநியோக திசையன்கள் காணப்பட்டுள்ளன. கீநாடு ஏற்றி முக அங்கீகார சேவைகள் மற்றும் துவக்கிகள் போன்ற முக்கிய அமைப்பு பயன்பாடுகளுக்குள் உட்பொதிக்கப்பட்டுள்ளது. இதேபோன்ற தந்திரோபாயங்கள் முன்பு OTA புதுப்பிப்பு வழிமுறைகளை இலக்காகக் கொண்ட Dwphon உடன் தொடர்புடையவை.

மற்றொரு கவனிக்கப்பட்ட முறை, BADBOX ஐ ஒத்த ஒரு தனி முன் நிறுவப்பட்ட பின்புறக் கதவு மூலம் ஏற்கனவே சமரசம் செய்யப்பட்ட அமைப்புகளுக்குள் செயல்படுவதை உள்ளடக்கியது. ட்ரைடா மற்றும் BADBOX க்கு இடையில் உள்கட்டமைப்பு ஒன்றுடன் ஒன்று அடையாளம் காணப்பட்டுள்ளது, இது போட்நெட் ஒத்துழைப்பைக் குறிக்கிறது. மார்ச் 2025 இல், BADBOX மற்றும் Vo1d க்கு இடையே மேலும் இணைப்புகள் தோன்றின, இது பிராண்டிற்கு வெளியே உள்ள Android TV சாதனங்களை இலக்காகக் கொண்டது.

கீநாடு, ஹாங்சோ டெங்ஹாங் டெக்னாலஜி கோ., லிமிடெட் மூலம் கூகிள் பிளேயில் வெளியிடப்பட்ட ட்ரோஜனைஸ் செய்யப்பட்ட ஸ்மார்ட் கேமரா பயன்பாடுகள் மூலமாகவும் விநியோகிக்கப்பட்டுள்ளது. பாதிக்கப்பட்ட பயன்பாடுகளில் பின்வருவன அடங்கும்:

• Eoolii (com.taismart.global) – 100,000 க்கும் மேற்பட்ட பதிவிறக்கங்கள்
• Ziicam (com.ziicam.aws) – 100,000 க்கும் மேற்பட்ட பதிவிறக்கங்கள்
• ஐப்ளஸ் - உங்கள் கண்களில் உங்கள் வீடு (com.closeli.eyeplus) - 100,000 க்கும் மேற்பட்ட பதிவிறக்கங்கள்

இந்தப் பயன்பாடுகள் கூகிள் பிளேயிலிருந்து நீக்கப்பட்டுள்ளன. ஆப்பிள் ஆப் ஸ்டோரிலும் சமமான பதிப்புகள் வெளியிடப்பட்டன; இருப்பினும், iOS வகைகளில் தீங்கிழைக்கும் குறியீடு இல்லை, கீநாடு குறிப்பாக ஆண்ட்ராய்டு டேப்லெட்களை இலக்காகக் கொண்டு வடிவமைக்கப்பட்டுள்ளது என்ற முடிவை வலுப்படுத்துகிறது.

பாதுகாப்பு தாக்கங்கள்: ஆண்ட்ராய்டின் முக்கிய நம்பிக்கை மாதிரிக்கு ஒரு அச்சுறுத்தல்

libandroid_runtime.so-வில் ஒருங்கிணைக்கப்படுவதால், ஒவ்வொரு பயன்பாட்டின் சூழலிலும் செயல்பட அனுமதிக்கும் கீநாடு கடுமையான அச்சுறுத்தலைக் குறிக்கிறது. இது ஆண்ட்ராய்டின் சாண்ட்பாக்ஸிங் மாதிரியை திறம்பட குறைமதிப்பிற்கு உட்படுத்துகிறது மற்றும் அனைத்து சாதனத் தரவுகளுக்கும் ரகசிய அணுகலை வழங்குகிறது.

நிலையான அனுமதி கட்டுப்பாடுகளைத் தவிர்ப்பதற்கான அதன் திறன், தீம்பொருளை கட்டுப்பாடற்ற கணினி-நிலை அதிகாரத்துடன் கூடிய முழுமையான பின்புறக் கதவாக மாற்றுகிறது. செயல்படுத்தலின் நுட்பமானது Android கட்டமைப்பு, பயன்பாட்டு வாழ்க்கைச் சுழற்சி மேலாண்மை மற்றும் முக்கிய பாதுகாப்பு வழிமுறைகளில் மேம்பட்ட நிபுணத்துவத்தை நிரூபிக்கிறது.

கீநாடு, பெரிய அளவிலான மற்றும் மிகவும் சிக்கலான தீம்பொருள் தளமாக தனித்து நிற்கிறது, இது சமரசம் செய்யப்பட்ட சாதனங்கள் மீது தொடர்ச்சியான மற்றும் தகவமைப்பு கட்டுப்பாட்டை வழங்கும் திறன் கொண்டது. தற்போது விளம்பர மோசடிக்காக முதன்மையாகப் பயன்படுத்தப்பட்டாலும், அதன் கட்டமைப்பு ஆழம், நற்சான்றிதழ் திருட்டு மற்றும் பரந்த சைபர் குற்றச் செயல்களை நோக்கி அதிகரிக்கும் நம்பகமான ஆபத்தைக் குறிக்கிறது.