Keenadu Backdoor

มีการค้นพบช่องโหว่ด้านความปลอดภัยของ Android ที่ซับซ้อนชื่อ Keenadu ซึ่งฝังลึกอยู่ในเฟิร์มแวร์ของอุปกรณ์ ทำให้สามารถเก็บเกี่ยวข้อมูลได้อย่างเงียบ ๆ และควบคุมระบบที่ติดไวรัสจากระยะไกลได้ นักวิจัยด้านความปลอดภัยค้นพบภัยคุกคามนี้ในเฟิร์มแวร์ที่เชื่อมโยงกับผู้ผลิตหลายราย รวมถึง Alldocube โดยมีหลักฐานแสดงให้เห็นว่าการโจมตีเกิดขึ้นในระหว่างขั้นตอนการสร้างเฟิร์มแวร์ Keenadu มีอยู่ในเฟิร์มแวร์ของ Alldocube iPlay 50 mini Pro มาตั้งแต่ 18 สิงหาคม 2023 เป็นอย่างน้อย

ในทุกกรณีที่ได้รับการยืนยัน โค้ดที่เป็นอันตรายนั้นอยู่ในไฟล์เฟิร์มแวร์ของแท็บเล็ตที่มีลายเซ็นดิจิทัลที่ถูกต้อง ซึ่งตอกย้ำความเป็นไปได้ของการถูกโจมตีตั้งแต่ต้นทางและปลายทาง เฟิร์มแวร์ที่ติดไวรัสบางส่วนถูกเผยแพร่ผ่านการอัปเดตแบบไร้สาย (OTA) เมื่อติดตั้งแล้ว มัลแวร์จะแทรกซึมเข้าไปในหน่วยความจำของทุกแอปพลิเคชันเมื่อเริ่มต้นทำงาน โดยทำหน้าที่เป็นตัวโหลดหลายขั้นตอน ซึ่งทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์จากระยะไกลได้อย่างไม่จำกัด

ข้อมูลการติดตามแสดงให้เห็นว่าผู้ใช้งานทั่วโลก 13,715 รายได้พบกับ Keenadu หรือโมดูลที่เกี่ยวข้อง โดยพบการติดเชื้อมากที่สุดในรัสเซีย ญี่ปุ่น เยอรมนี บราซิล และเนเธอร์แลนด์

การควบคุมระบบอย่างลึกซึ้ง: การเจาะระบบกระบวนการหลักของ Android

Keenadu ถูกเปิดเผยต่อสาธารณะในปลายเดือนธันวาคม 2025 และถูกอธิบายว่าเป็นแบ็กดอร์ที่ฝังอยู่ใน libandroid_runtime.so ซึ่งเป็นไลบรารีที่ใช้ร่วมกันที่สำคัญซึ่งโหลดระหว่างกระบวนการบูตของ Android เมื่อทำงานแล้ว มัลแวร์จะแทรกตัวเองเข้าไปในกระบวนการ Zygote ซึ่งเป็นพฤติกรรมที่เคยพบเห็นในมัลแวร์ Android ชื่อ Triada มาก่อน

มัลแวร์นี้ทำงานโดยผ่านฟังก์ชันที่แทรกอยู่ในไฟล์ libandroid_runtime.so โดยจะตรวจสอบก่อนว่ากำลังทำงานอยู่ภายในแอปพลิเคชันระบบที่เกี่ยวข้องกับบริการของ Google หรือผู้ให้บริการเครือข่ายมือถือ เช่น Sprint และ T-Mobile หรือไม่ หากใช่ การทำงานจะหยุดลง นอกจากนี้ยังมีกลไกปิดการทำงานอัตโนมัติ (kill switch) ที่จะยุติการทำงานของมัลแวร์เมื่อตรวจพบชื่อไฟล์เฉพาะในไดเร็กทอรีของระบบ

จากนั้นแบ็กดอร์จะตรวจสอบว่ากำลังทำงานอยู่ภายในกระบวนการ system_server ที่มีสิทธิ์พิเศษหรือไม่ ซึ่งกระบวนการนี้ควบคุมการทำงานหลักของระบบและถูกเรียกใช้งานโดย Zygote ระหว่างการบูต ขึ้นอยู่กับสภาพแวดล้อม มัลแวร์จะเริ่มต้นส่วนประกอบอย่างใดอย่างหนึ่งจากสองส่วน:

• AKServer ซึ่งประกอบด้วยตรรกะหลักในการควบคุมและสั่งการ (C2) และกลไกการประมวลผล
• AKClient คือส่วนที่ถูกแทรกเข้าไปในแต่ละแอปพลิเคชันที่เปิดใช้งาน และทำหน้าที่เป็นสะพานเชื่อมการสื่อสารกับ AKServer

สถาปัตยกรรมนี้ทำให้ผู้โจมตีสามารถปรับแต่งมัลแวร์ให้เหมาะสมกับแอปพลิเคชันเฉพาะได้ ส่วนประกอบเซิร์ฟเวอร์สามารถให้หรือเพิกถอนสิทธิ์การเข้าถึงแอปพลิเคชัน ดึงข้อมูลตำแหน่งทางภูมิศาสตร์ และส่งข้อมูลอุปกรณ์ออกไปได้ มาตรการป้องกันเพิ่มเติมทำให้มั่นใจได้ว่ามัลแวร์จะหยุดทำงานหากภาษาของอุปกรณ์ถูกตั้งค่าเป็นภาษาจีนภายในเขตเวลาของจีน หรือหากไม่มี Google Play Store หรือ Google Play Services อยู่

เมื่อตรงตามเกณฑ์การทำงานแล้ว Keenadu จะถอดรหัสที่อยู่ C2 ของตนและส่งข้อมูลเมตาของอุปกรณ์ที่เข้ารหัสไว้ เซิร์ฟเวอร์จะตอบกลับด้วยการกำหนดค่า JSON ที่เข้ารหัสซึ่งระบุรายละเอียดของเพย์โหลดที่มีอยู่ เพื่อหลีกเลี่ยงการตรวจจับและทำให้การวิเคราะห์ซับซ้อนขึ้น แบ็กดอร์จะหน่วงเวลาการส่งเพย์โหลดประมาณสองเดือนครึ่งหลังจากที่อุปกรณ์ได้รับการตรวจสอบครั้งแรก ผู้โจมตีอาศัย Alibaba Cloud เป็นโครงสร้างพื้นฐานในการส่งมอบเนื้อหา

โมดูลที่เป็นอันตราย: การสร้างรายได้ การโจรกรรม และการฉ้อโกงโฆษณา

Keenadu ทำงานในฐานะแพลตฟอร์มมัลแวร์แบบโมดูลาร์ที่สามารถติดตั้งส่วนประกอบเฉพาะทางต่างๆ ได้ โมดูลที่ระบุได้แก่:

• มัลแวร์ Keenadu Loader มุ่งเป้าไปที่แพลตฟอร์มอีคอมเมิร์ซยอดนิยม เช่น Amazon, Shein และ Temu ซึ่งอาจทำให้เกิดการเปลี่ยนแปลงข้อมูลในตะกร้าสินค้าโดยไม่ได้รับอนุญาต
• โปรแกรม Clicker Loader ถูกแทรกเข้าไปในแอปพลิเคชันต่างๆ เช่น YouTube, Facebook, Google Digital Wellbeing และตัวเรียกใช้งานระบบ Android เพื่อโต้ตอบกับองค์ประกอบโฆษณาอย่างผิดกฎหมาย
• โมดูล Google Chrome ที่มุ่งเป้าไปที่ Google Chrome เพื่อแทรกแซงการค้นหาและเปลี่ยนเส้นทางไปยังเครื่องมือค้นหาอื่น แม้ว่าการเลือกแบบเติมคำอัตโนมัติอาจขัดขวางความพยายามในการแทรกแซงได้ในบางครั้ง
• Nova Clicker เป็นส่วนประกอบที่ฝังอยู่ในโปรแกรมเลือกภาพพื้นหลังของระบบ และใช้ประโยชน์จากแมชชีนเลิร์นนิงและ WebRTC เพื่อโต้ตอบกับเนื้อหาโฆษณา ส่วนประกอบนี้เคยได้รับการวิเคราะห์มาก่อนภายใต้ชื่อรหัส Phantom โดย Doctor Web
• ติดตั้งโมดูลสร้างรายได้ที่ฝังอยู่ในตัวเรียกใช้งานระบบ เพื่อสร้างรายได้จากการโฆษณาอย่างผิดกฎหมายโดยการปลอมแปลงการระบุผู้ติดตั้งแอปพลิเคชัน
• โมดูล Google Play ซึ่งดึงรหัสโฆษณา Google Ads และจัดเก็บไว้ภายใต้คีย์ 'S_GA_ID3' เพื่อการติดตามข้ามโมดูลและการระบุตัวผู้เสียหาย

แม้ว่าในปัจจุบันการดำเนินงานจะมุ่งเน้นไปที่การฉ้อโกงด้านการโฆษณาเป็นหลัก แต่ความยืดหยุ่นของกรอบการทำงานนี้เปิดโอกาสอย่างมากสำหรับการขโมยข้อมูลประจำตัวและการปฏิบัติการโจมตีในวงกว้างขึ้นในอนาคต

การขยายช่องทางการจัดจำหน่ายและการเชื่อมโยงระบบนิเวศ

นอกเหนือจากการฝังตัวในระดับเฟิร์มแวร์แล้ว ยังพบช่องทางการเผยแพร่เพิ่มเติมอีกด้วย โปรแกรมโหลดเดอร์ของ Keenadu ถูกฝังอยู่ในแอปพลิเคชันระบบหลัก เช่น บริการจดจำใบหน้าและตัวเรียกใช้งานแอปพลิเคชัน กลยุทธ์ที่คล้ายกันนี้เคยเกิดขึ้นกับ Dwphon มาก่อน ซึ่งมุ่งเป้าไปที่กลไกการอัปเดตแบบ OTA

อีกวิธีหนึ่งที่พบคือการทำงานภายในระบบที่ถูกบุกรุกไปแล้วด้วยแบ็กดอร์ที่ติดตั้งไว้ล่วงหน้าซึ่งมีลักษณะคล้ายกับ BADBOX นอกจากนี้ยังพบความซ้ำซ้อนของโครงสร้างพื้นฐานระหว่าง Triada และ BADBOX ซึ่งบ่งชี้ถึงการทำงานร่วมกันของบอทเน็ต ในเดือนมีนาคม 2025 ความเชื่อมโยงเพิ่มเติมระหว่าง BADBOX และ Vo1d ซึ่งมุ่งเป้าไปที่อุปกรณ์ Android TV ที่ไม่ใช่แบรนด์แท้ก็ปรากฏขึ้นอีกด้วย

นอกจากนี้ Keenadu ยังแพร่กระจายผ่านแอปพลิเคชันกล้องอัจฉริยะที่ติดมัลแวร์ ซึ่งเผยแพร่บน Google Play โดยบริษัท Hangzhou Denghong Technology Co., Ltd. แอปพลิเคชันที่ได้รับผลกระทบ ได้แก่:

• Eoolii (com.taismart.global) – มียอดดาวน์โหลดมากกว่า 100,000 ครั้ง
• Ziicam (com.ziicam.aws) – มียอดดาวน์โหลดมากกว่า 100,000 ครั้ง
• Eyeplus – บ้านในดวงตาของคุณ (com.closeli.eyeplus) – ดาวน์โหลดมากกว่า 100,000 ครั้ง

แอปพลิเคชันเหล่านี้ถูกลบออกจาก Google Play แล้ว นอกจากนี้ยังมีการเผยแพร่เวอร์ชันที่เทียบเท่ากันใน Apple App Store ด้วย แต่เวอร์ชัน iOS นั้นไม่มีโค้ดที่เป็นอันตราย ซึ่งตอกย้ำข้อสรุปที่ว่า Keenadu ถูกออกแบบมาโดยเฉพาะเพื่อโจมตีแท็บเล็ต Android

ผลกระทบด้านความปลอดภัย: ภัยคุกคามต่อโมเดลความน่าเชื่อถือหลักของแอนดรอยด์

Keenadu เป็นภัยคุกคามร้ายแรงเนื่องจากการผสานรวมเข้ากับ libandroid_runtime.so ทำให้สามารถทำงานได้ภายในทุกแอปพลิเคชัน ซึ่งเป็นการบ่อนทำลายระบบแซนด์บ็อกซ์ของ Android อย่างมีประสิทธิภาพ และให้สิทธิ์ในการเข้าถึงข้อมูลอุปกรณ์ทั้งหมดอย่างลับๆ

ความสามารถในการข้ามการควบคุมสิทธิ์มาตรฐานทำให้มัลแวร์นี้กลายเป็นแบ็กดอร์เต็มรูปแบบที่มีอำนาจในระดับระบบอย่างไม่จำกัด ความซับซ้อนของการใช้งานแสดงให้เห็นถึงความเชี่ยวชาญขั้นสูงในด้านสถาปัตยกรรม Android การจัดการวงจรชีวิตแอปพลิเคชัน และกลไกความปลอดภัยหลัก

Keenadu โดดเด่นในฐานะแพลตฟอร์มมัลแวร์ขนาดใหญ่และซับซ้อนสูง ซึ่งสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้อย่างต่อเนื่องและปรับเปลี่ยนได้ แม้ว่าในปัจจุบันจะถูกนำไปใช้เพื่อการฉ้อโกงโฆษณาเป็นหลัก แต่ความซับซ้อนทางสถาปัตยกรรมบ่งชี้ถึงความเสี่ยงที่น่าเชื่อถือในการพัฒนาไปสู่การขโมยข้อมูลประจำตัวและการปฏิบัติการอาชญากรรมไซเบอร์ในวงกว้างขึ้น