Keenadu Backdoor

Isang sopistikadong Android backdoor na kilala bilang Keenadu ang natukoy na naka-embed nang malalim sa loob ng firmware ng device, na nagbibigay-daan sa tahimik na pagkuha ng data at remote control ng mga nahawaang system. Natuklasan ng mga mananaliksik sa seguridad ang banta sa firmware na naka-link sa maraming vendor, kabilang ang Alldocube, na may ebidensyang nagpapakita na ang pagkakompromiso ay naganap sa panahon ng pagbuo ng firmware. Ang Keenadu ay naroroon na sa firmware para sa Alldocube iPlay 50 mini Pro simula pa noong Agosto 18, 2023.

Sa bawat kumpirmadong kaso, ang malisyosong code ay nasa loob ng mga imahe ng firmware ng tablet na may mga wastong digital na lagda, na nagpapalakas sa posibilidad ng pagkakompromiso sa supply chain. Ang ilang mga nahawaang firmware package ay ipinamahagi sa pamamagitan ng over-the-air (OTA) updates. Kapag na-install na, ang backdoor ay inilalagay ang sarili nito sa espasyo ng memorya ng bawat application sa paglulunsad, na gumagana bilang isang multi-stage loader na nagbibigay sa mga attacker ng walang limitasyong remote control sa device.

Ipinapahiwatig ng telemetry na 13,715 na mga gumagamit sa buong mundo ang nakatagpo ng Keenadu o ng mga kaugnay nitong module. Ang pinakamataas na konsentrasyon ng mga impeksyon ay naobserbahan sa Russia, Japan, Germany, Brazil, at Netherlands.

Malalim na Manipulasyon ng Sistema: Paggamit sa mga Pangunahing Proseso ng Android

Ang Keenadu ay isiniwalat sa publiko noong huling bahagi ng Disyembre 2025 at inilarawan bilang isang backdoor na nakatanim sa loob ng libanodroid_runtime.so, isang kritikal na shared library na nilo-load habang nagbo-boot ang Android. Kapag aktibo na, ini-inject ng malware ang sarili nito sa proseso ng Zygote, isang pag-uugaling naobserbahan dati sa Android malware na Triada.

Ang malisyosong routine ay nati-trigger sa pamamagitan ng isang function na ipinasok sa liandroid_runtime.so. Una nitong bineberipika kung ito ay nagpapatakbo sa loob ng mga system application na nauugnay sa mga serbisyo ng Google o mga mobile carrier tulad ng Sprint at T-Mobile; kung gayon, ititigil ang pagpapatupad. Tinatapos din ng isang built-in na kill switch ang malware kapag natukoy ang mga partikular na pangalan ng file sa mga direktoryo ng system.

Pagkatapos ay sinusuri ng backdoor kung ito ay gumagana sa loob ng prosesong privileged system_server, na namamahala sa pangunahing functionality ng sistema at inilulunsad ng Zygote habang nagbo-boot. Depende sa kapaligiran, ini-initialize ng malware ang isa sa dalawang bahagi:

• AKServer, na naglalaman ng pangunahing command-and-control (C2) logic at execution engine
• AKClient, na inilalagay sa bawat inilulunsad na aplikasyon at nagsisilbing tulay sa komunikasyon sa AKServer

Ang arkitekturang ito ay nagbibigay-daan sa mga umaatake na iangkop ang mga malisyosong payload sa mga partikular na application. Maaaring magbigay o bawiin ng bahagi ng server ang mga pahintulot sa app, kumuha ng data ng geolocation, at mag-exfiltrate ng impormasyon ng device. Tinitiyak ng mga karagdagang pananggalang na matatapos ang malware kung ang wika ng device ay nakatakda sa Chinese sa loob ng isang Chinese time zone, o kung wala ang Google Play Store o Google Play Services.

Kapag natugunan ang mga pamantayan sa pagpapatakbo, idine-decrypt ng Keenadu ang C2 address nito at ipinapadala ang naka-encrypt na metadata ng device. Tumutugon ang server gamit ang isang naka-encrypt na JSON configuration na nagdedetalye ng mga available na payload. Upang maiwasan ang pagtuklas at maging kumplikado ang pagsusuri, ipinagpapaliban ng backdoor ang paghahatid ng payload nang humigit-kumulang dalawa at kalahating buwan pagkatapos ng unang pag-check-in ng device. Umaasa ang mga attacker sa Alibaba Cloud bilang kanilang imprastraktura sa paghahatid ng nilalaman.

Mga Malisyosong Module: Monetization, Pag-hijack, at Pandaraya sa Ad

Ang Keenadu ay gumagana bilang isang modular malware platform na may kakayahang mag-deploy ng iba't ibang espesyalisadong bahagi. Kabilang sa mga natukoy na modyul ang mga sumusunod:

• Tinatarget ng Keenadu Loader ang mga sikat na platform ng e-commerce tulad ng Amazon, Shein, at Temu, na posibleng nagbibigay-daan sa hindi awtorisadong manipulasyon sa cart.
• Itinurok ang Clicker Loader sa mga application tulad ng YouTube, Facebook, Google Digital Wellbeing, at ang Android system launcher upang mapanlinlang na makipag-ugnayan sa mga elemento ng advertising.
• Tinatarget ng Google Chrome Module ang Google Chrome upang i-hijack ang mga query sa paghahanap at i-redirect ang mga ito sa mga alternatibong search engine, bagama't maaaring minsan ay makagambala ang mga autocomplete na seleksyon sa pagtatangkang i-hijack.
• Ang Nova Clicker, na naka-embed sa loob ng system wallpaper picker at ginagamit ang machine learning at WebRTC upang makipag-ugnayan sa nilalaman ng advertising. Ang bahaging ito ay dating sinuri sa ilalim ng codename na Phantom ng Doctor Web.
• I-install ang Monetization Module, na naka-embed sa system launcher upang makabuo ng mapanlinlang na kita sa advertising sa pamamagitan ng maling pag-atribute ng mga pag-install ng application.
• Google Play Module, na kumukuha ng Google Ads advertising ID at nag-iimbak nito sa ilalim ng key na 'S_GA_ID3' para sa cross-module tracking at pagkilala sa biktima.

Bagama't ang kasalukuyang pokus ng operasyon ay nakasentro sa pandaraya sa advertising, ang kakayahang umangkop ng balangkas ay nagpapakita ng malaking potensyal para sa pagnanakaw ng kredensyal at mas malawak na mga malisyosong operasyon sa hinaharap.

Pagpapalawak ng mga Channel ng Distribusyon at mga Ugnayan sa Ekosistema

Higit pa sa implantasyon sa antas ng firmware, may mga karagdagang distribution vector na naobserbahan. Ang Keenadu loader ay naka-embed na sa loob ng mga pangunahing aplikasyon ng system tulad ng mga serbisyo sa pagkilala ng mukha at mga launcher. Ang mga katulad na taktika ay dating iniugnay sa Dwphon, na tumatarget sa mga mekanismo ng pag-update ng OTA.

Ang isa pang naobserbahang pamamaraan ay kinabibilangan ng operasyon sa loob ng mga sistemang nakompromiso na sa pamamagitan ng isang hiwalay na naka-install na backdoor na kahawig ng BADBOX. Natukoy din ang mga overlap sa imprastraktura sa pagitan ng Triada at BADBOX, na nagmumungkahi ng kolaborasyon ng botnet. Noong Marso 2025, lumitaw ang mga karagdagang koneksyon sa pagitan ng BADBOX at Vo1d, na tumatarget sa mga device na Android TV na hindi kabilang sa tatak.

Naipamahagi rin ang Keenadu sa pamamagitan ng mga trojanized na smart camera application na inilathala sa Google Play ng Hangzhou Denghong Technology Co., Ltd. Kabilang sa mga apektadong application ang:

• Eoolii (com.taismart.global) – mahigit 100,000 na download
• Ziicam (com.ziicam.aws) – mahigit 100,000 na download
• Eyeplus – Ang iyong tahanan sa iyong mga mata (com.closeli.eyeplus) – mahigit 100,000 download

Ang mga application na ito ay inalis na sa Google Play. Ang mga katumbas na bersyon ay inilathala rin sa Apple App Store; gayunpaman, ang mga variant ng iOS ay hindi naglalaman ng malisyosong code, na nagpapatibay sa konklusyon na ang Keenadu ay partikular na ginawa upang i-target ang mga Android tablet.

Mga Implikasyon sa Seguridad: Isang Banta sa Core Trust Model ng Android

Ang Keenadu ay kumakatawan sa isang matinding banta dahil sa integrasyon nito sa loob ng liandroid_runtime.so, na nagpapahintulot dito na gumana sa konteksto ng bawat aplikasyon. Epektibong sinisira nito ang modelo ng sandboxing ng Android at nagbibigay ng palihim na pag-access sa lahat ng data ng device.

Ang kakayahan nitong malampasan ang mga karaniwang kontrol sa pahintulot ay ginagawang isang ganap na backdoor ang malware na may walang limitasyong awtoridad sa antas ng sistema. Ang sopistikasyon ng implementasyon ay nagpapakita ng makabagong kadalubhasaan sa arkitektura ng Android, pamamahala ng lifecycle ng aplikasyon, at mga pangunahing mekanismo ng seguridad.

Namumukod-tangi ang Keenadu bilang isang malakihan at lubos na kumplikadong plataporma ng malware na may kakayahang maghatid ng patuloy at madaling ibagay na kontrol sa mga nakompromisong device. Bagama't kasalukuyang pangunahing ginagamit para sa pandaraya sa advertising, ang lalim ng arkitektura nito ay nagmumungkahi ng isang kapani-paniwalang panganib ng paglala patungo sa pagnanakaw ng kredensyal at mas malawak na mga operasyon sa cybercriminal.