Keenadu Backdoor

కీనాడు అని పిలువబడే అధునాతన ఆండ్రాయిడ్ బ్యాక్‌డోర్ పరికర ఫర్మ్‌వేర్‌లో లోతుగా పొందుపరచబడిందని గుర్తించబడింది, ఇది నిశ్శబ్ద డేటా సేకరణ మరియు సోకిన వ్యవస్థల రిమోట్ నియంత్రణను అనుమతిస్తుంది. భద్రతా పరిశోధకులు ఆల్డోక్యూబ్‌తో సహా బహుళ విక్రేతలతో అనుసంధానించబడిన ఫర్మ్‌వేర్‌లోని ముప్పును కనుగొన్నారు, ఫర్మ్‌వేర్ నిర్మాణ దశలో రాజీ జరిగిందని చూపించే ఆధారాలు ఉన్నాయి. కనీసం ఆగస్టు 18, 2023 నుండి ఆల్డోక్యూబ్ ఐప్లే 50 మినీ ప్రో కోసం ఫర్మ్‌వేర్‌లో కీనాడు ఉంది.

ప్రతి ధృవీకరించబడిన సందర్భంలో, చెల్లుబాటు అయ్యే డిజిటల్ సంతకాలను కలిగి ఉన్న టాబ్లెట్ ఫర్మ్‌వేర్ చిత్రాలలో హానికరమైన కోడ్ ఉంటుంది, ఇది సరఫరా గొలుసు రాజీ సంభావ్యతను బలోపేతం చేస్తుంది. కొన్ని సోకిన ఫర్మ్‌వేర్ ప్యాకేజీలు ఓవర్-ది-ఎయిర్ (OTA) నవీకరణల ద్వారా పంపిణీ చేయబడ్డాయి. ఇన్‌స్టాల్ చేసిన తర్వాత, బ్యాక్‌డోర్ లాంచ్‌లో ప్రతి అప్లికేషన్ యొక్క మెమరీ స్థలంలోకి చొచ్చుకుపోతుంది, ఇది పరికరంపై దాడి చేసేవారికి అపరిమిత రిమోట్ కంట్రోల్‌ను మంజూరు చేసే బహుళ-దశల లోడర్‌గా పనిచేస్తుంది.

ప్రపంచవ్యాప్తంగా 13,715 మంది వినియోగదారులు కీనాడు లేదా దాని సంబంధిత మాడ్యూల్‌లను ఎదుర్కొన్నారని టెలిమెట్రీ సూచిస్తుంది. రష్యా, జపాన్, జర్మనీ, బ్రెజిల్ మరియు నెదర్లాండ్స్‌లలో అత్యధిక ఇన్ఫెక్షన్లు నమోదయ్యాయి.

డీప్ సిస్టమ్ మానిప్యులేషన్: కోర్ ఆండ్రాయిడ్ ప్రాసెస్‌లను దోపిడీ చేయడం

కీనాడు డిసెంబర్ 2025 చివరలో బహిరంగంగా బహిర్గతం చేయబడింది మరియు libandroid_runtime.so లో అమర్చబడిన బ్యాక్‌డోర్‌గా వర్ణించబడింది, ఇది ఆండ్రాయిడ్ బూట్ ప్రాసెస్ సమయంలో లోడ్ చేయబడిన కీలకమైన షేర్డ్ లైబ్రరీ. యాక్టివ్ అయిన తర్వాత, మాల్వేర్ జైగోట్ ప్రాసెస్‌లోకి ప్రవేశిస్తుంది, గతంలో ఆండ్రాయిడ్ మాల్వేర్ ట్రయాడాలో గమనించిన ప్రవర్తన.

libandroid_runtime.so లో చొప్పించిన ఫంక్షన్ ద్వారా హానికరమైన రొటీన్ ట్రిగ్గర్ చేయబడుతుంది. ఇది మొదట Google సేవలతో అనుబంధించబడిన సిస్టమ్ అప్లికేషన్‌ల లోపల లేదా Sprint మరియు T-Mobile వంటి మొబైల్ క్యారియర్‌ల లోపల అమలు అవుతుందో లేదో ధృవీకరిస్తుంది; అలా అయితే, అమలు నిలిపివేయబడుతుంది. సిస్టమ్ డైరెక్టరీలలో నిర్దిష్ట ఫైల్ పేర్లు గుర్తించబడినప్పుడు అంతర్నిర్మిత కిల్ స్విచ్ కూడా మాల్వేర్‌ను రద్దు చేస్తుంది.

బ్యాక్‌డోర్ అప్పుడు ప్రివిలేజ్డ్ సిస్టమ్_సర్వర్ ప్రాసెస్‌లో పనిచేస్తుందో లేదో తనిఖీ చేస్తుంది, ఇది కోర్ సిస్టమ్ కార్యాచరణను నియంత్రిస్తుంది మరియు బూట్ సమయంలో జైగోట్ ద్వారా ప్రారంభించబడుతుంది. పర్యావరణంపై ఆధారపడి, మాల్వేర్ రెండు భాగాలలో ఒకదాన్ని ప్రారంభిస్తుంది:

• AKServer, దీనిలో కోర్ కమాండ్-అండ్-కంట్రోల్ (C2) లాజిక్ మరియు ఎగ్జిక్యూషన్ ఇంజిన్ ఉంటుంది.
• AKClient, ఇది ప్రతి ప్రారంభించబడిన అప్లికేషన్‌లోకి ఇంజెక్ట్ చేయబడుతుంది మరియు AKServer కు కమ్యూనికేషన్ వారధిగా పనిచేస్తుంది.

ఈ నిర్మాణం దాడి చేసేవారికి నిర్దిష్ట అప్లికేషన్‌లకు హానికరమైన పేలోడ్‌లను అనుకూలీకరించడానికి అనుమతిస్తుంది. సర్వర్ భాగం యాప్ అనుమతులను మంజూరు చేయగలదు లేదా రద్దు చేయగలదు, జియోలొకేషన్ డేటాను తిరిగి పొందగలదు మరియు పరికర సమాచారాన్ని తొలగించగలదు. చైనీస్ టైమ్ జోన్‌లో పరికర భాషను చైనీస్‌కి సెట్ చేసినా లేదా Google Play Store లేదా Google Play సేవలు లేనా మాల్వేర్ ముగిసిపోతుందని అదనపు రక్షణ చర్యలు నిర్ధారిస్తాయి.

కార్యాచరణ ప్రమాణాలను చేరుకున్న తర్వాత, కీనాడు దాని C2 చిరునామాను డీక్రిప్ట్ చేస్తుంది మరియు ఎన్‌క్రిప్ట్ చేసిన పరికర మెటాడేటాను ప్రసారం చేస్తుంది. సర్వర్ అందుబాటులో ఉన్న పేలోడ్‌లను వివరించే ఎన్‌క్రిప్ట్ చేసిన JSON కాన్ఫిగరేషన్‌తో ప్రతిస్పందిస్తుంది. గుర్తింపును తప్పించుకోవడానికి మరియు విశ్లేషణను క్లిష్టతరం చేయడానికి, బ్యాక్‌డోర్ ప్రారంభ పరికర చెక్-ఇన్ తర్వాత దాదాపు రెండున్నర నెలల పాటు పేలోడ్ డెలివరీని ఆలస్యం చేస్తుంది. దాడి చేసేవారు తమ కంటెంట్ డెలివరీ మౌలిక సదుపాయాలుగా అలీబాబా క్లౌడ్‌పై ఆధారపడతారు.

హానికరమైన మాడ్యూల్స్: మానిటైజేషన్, హైజాకింగ్ మరియు ప్రకటన మోసం

కీనాడు వివిధ ప్రత్యేక భాగాలను అమలు చేయగల మాడ్యులర్ మాల్వేర్ ప్లాట్‌ఫామ్‌గా పనిచేస్తుంది. గుర్తించబడిన మాడ్యూళ్లలో ఈ క్రిందివి ఉంటాయి:

• కీనాడు లోడర్ అమెజాన్, షీన్ మరియు టెము వంటి ప్రముఖ ఇ-కామర్స్ ప్లాట్‌ఫామ్‌లను లక్ష్యంగా చేసుకుని, అనధికార కార్ట్ మానిప్యులేషన్‌కు వీలు కల్పిస్తుంది.
• ప్రకటనల అంశాలతో మోసపూరితంగా వ్యవహరించడానికి YouTube, Facebook, Google డిజిటల్ వెల్‌బీయింగ్ మరియు ఆండ్రాయిడ్ సిస్టమ్ లాంచర్ వంటి అప్లికేషన్‌లలోకి క్లిక్కర్ లోడర్ ఇంజెక్ట్ చేయబడింది.
• గూగుల్ క్రోమ్ మాడ్యూల్ శోధన ప్రశ్నలను హైజాక్ చేయడానికి మరియు వాటిని ప్రత్యామ్నాయ శోధన ఇంజిన్‌లకు దారి మళ్లించడానికి గూగుల్ క్రోమ్‌ను లక్ష్యంగా చేసుకుంటుంది, అయితే ఆటోకంప్లీట్ ఎంపికలు కొన్నిసార్లు హైజాకింగ్ ప్రయత్నానికి అంతరాయం కలిగించవచ్చు.
• నోవా క్లిక్కర్, సిస్టమ్ వాల్‌పేపర్ పికర్‌లో పొందుపరచబడింది మరియు ప్రకటనల కంటెంట్‌తో నిమగ్నమవ్వడానికి మెషిన్ లెర్నింగ్ మరియు WebRTCని ఉపయోగించుకుంటుంది. ఈ భాగాన్ని గతంలో డాక్టర్ వెబ్ ద్వారా ఫాంటమ్ అనే కోడ్‌నేమ్‌తో విశ్లేషించారు.
• అప్లికేషన్ ఇన్‌స్టాల్‌లను తప్పుగా పంపిణీ చేయడం ద్వారా మోసపూరిత ప్రకటనల ఆదాయాన్ని ఉత్పత్తి చేయడానికి సిస్టమ్ లాంచర్‌లో పొందుపరచబడిన మానిటైజేషన్ మాడ్యూల్‌ను ఇన్‌స్టాల్ చేయండి.
• Google Play మాడ్యూల్, ఇది Google ప్రకటనల ప్రకటనల IDని తిరిగి పొందుతుంది మరియు క్రాస్-మాడ్యూల్ ట్రాకింగ్ మరియు బాధితుల గుర్తింపు కోసం 'S_GA_ID3' కీ కింద నిల్వ చేస్తుంది.

ప్రస్తుత కార్యాచరణ దృష్టి ప్రకటనల మోసంపై కేంద్రీకృతమై ఉండగా, ఫ్రేమ్‌వర్క్ యొక్క వశ్యత భవిష్యత్తులో ఆధారాల దొంగతనం మరియు విస్తరించిన హానికరమైన కార్యకలాపాలకు గణనీయమైన సామర్థ్యాన్ని అందిస్తుంది.

పంపిణీ మార్గాలు మరియు పర్యావరణ వ్యవస్థ లింక్‌లను విస్తరించడం

ఫర్మ్‌వేర్-స్థాయి ఇంప్లాంటేషన్‌కు మించి, అదనపు పంపిణీ వెక్టర్‌లు గమనించబడ్డాయి. కీనాడు లోడర్ ముఖ గుర్తింపు సేవలు మరియు లాంచర్లు వంటి కోర్ సిస్టమ్ అప్లికేషన్‌లలో పొందుపరచబడింది. ఇలాంటి వ్యూహాలు గతంలో Dwphonతో అనుబంధించబడ్డాయి, ఇది OTA నవీకరణ విధానాలను లక్ష్యంగా చేసుకుంది.

మరొక పరిశీలించిన పద్ధతి BADBOXని పోలిన ప్రత్యేక ముందే ఇన్‌స్టాల్ చేయబడిన బ్యాక్‌డోర్ ద్వారా ఇప్పటికే రాజీపడిన వ్యవస్థలలో ఆపరేషన్‌ను కలిగి ఉంటుంది. ట్రయాడా మరియు BADBOX మధ్య మౌలిక సదుపాయాల అతివ్యాప్తులు కూడా గుర్తించబడ్డాయి, ఇది బోట్‌నెట్ సహకారాన్ని సూచిస్తుంది. మార్చి 2025లో, BADBOX మరియు Vo1d మధ్య మరిన్ని కనెక్షన్లు ఉద్భవించాయి, ఇది ఆఫ్-బ్రాండ్ Android TV పరికరాలను లక్ష్యంగా చేసుకుంది.

కీనాడును హాంగ్‌జౌ డెంగ్‌హాంగ్ టెక్నాలజీ కో., లిమిటెడ్ గూగుల్ ప్లేలో ప్రచురించిన ట్రోజనైజ్డ్ స్మార్ట్ కెమెరా అప్లికేషన్‌ల ద్వారా కూడా పంపిణీ చేశారు. ప్రభావితమైన అప్లికేషన్‌లలో ఇవి ఉన్నాయి:

• Eoolii (com.taismart.global) – 100,000 కంటే ఎక్కువ డౌన్‌లోడ్‌లు
• జికామ్ (com.ziicam.aws) – 100,000 కి పైగా డౌన్‌లోడ్‌లు
• ఐప్లస్ – మీ దృష్టిలో మీ ఇల్లు (com.closeli.eyeplus) – 100,000 కంటే ఎక్కువ డౌన్‌లోడ్‌లు

ఈ అప్లికేషన్‌లను Google Play నుండి తొలగించారు. సమానమైన వెర్షన్‌లు Apple App Storeలో కూడా ప్రచురించబడ్డాయి; అయితే, iOS వేరియంట్‌లలో హానికరమైన కోడ్ లేదు, కీనాడు ప్రత్యేకంగా Android టాబ్లెట్‌లను లక్ష్యంగా చేసుకోవడానికి రూపొందించబడిందనే నిర్ధారణకు ఇది బలం చేకూరుస్తుంది.

భద్రతా చిక్కులు: ఆండ్రాయిడ్ కోర్ ట్రస్ట్ మోడల్‌కు ముప్పు

కీనాడు libandroid_runtime.so లో దాని ఏకీకరణ కారణంగా తీవ్రమైన ముప్పును సూచిస్తుంది, ఇది ప్రతి అప్లికేషన్ సందర్భంలోనూ పనిచేయడానికి అనుమతిస్తుంది. ఇది Android యొక్క శాండ్‌బాక్సింగ్ మోడల్‌ను సమర్థవంతంగా బలహీనపరుస్తుంది మరియు అన్ని పరికర డేటాకు రహస్య యాక్సెస్‌ను అందిస్తుంది.

ప్రామాణిక అనుమతి నియంత్రణలను దాటవేయగల దాని సామర్థ్యం మాల్వేర్‌ను అపరిమిత సిస్టమ్-స్థాయి అధికారంతో పూర్తి స్థాయి బ్యాక్‌డోర్‌గా మారుస్తుంది. అమలు యొక్క అధునాతనత Android ఆర్కిటెక్చర్, అప్లికేషన్ లైఫ్‌సైకిల్ నిర్వహణ మరియు కోర్ భద్రతా విధానాలలో అధునాతన నైపుణ్యాన్ని ప్రదర్శిస్తుంది.

కీనాడు అనేది రాజీపడిన పరికరాలపై నిరంతర మరియు అనుకూల నియంత్రణను అందించగల పెద్ద-స్థాయి మరియు అత్యంత సంక్లిష్టమైన మాల్వేర్ ప్లాట్‌ఫామ్‌గా నిలుస్తుంది. ప్రస్తుతం ప్రధానంగా ప్రకటనల మోసానికి ఉపయోగించబడుతున్నప్పటికీ, దాని నిర్మాణ లోతు ఆధారాల దొంగతనం మరియు విస్తృత సైబర్ నేర కార్యకలాపాల వైపు పెరిగే విశ్వసనీయ ప్రమాదాన్ని సూచిస్తుంది.