Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mobil Kötü Amaçlı Yazılım Keenadu Arka Kapısı

Keenadu Arka Kapısı

Mezo'de Mobil Kötü Amaçlı Yazılım, Arka kapılar'de
Çevir:

Keenadu olarak bilinen gelişmiş bir Android arka kapısı, cihaz yazılımının derinliklerine yerleştirilmiş olarak tespit edildi. Bu arka kapı, sessiz veri toplama ve enfekte sistemlerin uzaktan kontrolünü sağlıyor. Güvenlik araştırmacıları, Alldocube dahil olmak üzere birden fazla üreticiyle bağlantılı yazılımlarda bu tehdidi ortaya çıkardı ve kanıtlar, güvenlik açığının yazılım oluşturma aşamasında meydana geldiğini gösteriyor. Keenadu, en az 18 Ağustos 2023'ten beri Alldocube iPlay 50 mini Pro'nun yazılımında mevcut.

Doğrulanan her vakada, kötü amaçlı kod, geçerli dijital imzalara sahip tablet aygıt yazılımı görüntülerinin içinde yer alıyordu ve bu da tedarik zincirinin tehlikeye atılma olasılığını güçlendiriyordu. Bazı virüslü aygıt yazılımı paketleri, kablosuz (OTA) güncellemeler yoluyla dağıtıldı. Kurulduktan sonra, arka kapı kendini her uygulamanın başlatılmasında bellek alanına yerleştiriyor ve saldırganlara cihaz üzerinde sınırsız uzaktan kontrol sağlayan çok aşamalı bir yükleyici olarak çalışıyor.

Telemetri verileri, dünya genelinde 13.715 kullanıcının Keenadu veya ilgili modülleriyle karşılaştığını göstermektedir. Enfeksiyonların en yoğun olduğu ülkeler Rusya, Japonya, Almanya, Brezilya ve Hollanda'dır.

Derin Sistem Manipülasyonu: Android’in Temel Süreçlerinden Yararlanma

Keenadu, Aralık 2025'in sonlarında kamuoyuna duyuruldu ve Android önyükleme işlemi sırasında yüklenen kritik bir paylaşımlı kütüphane olan libandroid_runtime.so'ya yerleştirilmiş bir arka kapı olarak tanımlandı. Etkin hale geldiğinde, kötü amaçlı yazılım kendini Zygote işlemine enjekte eder; bu davranış daha önce Android kötü amaçlı yazılımı Triada'da da gözlemlenmiştir.

Zararlı yazılım, libandroid_runtime.so dosyasına eklenen bir fonksiyon aracılığıyla tetiklenir. İlk olarak, Google hizmetleri veya Sprint ve T-Mobile gibi mobil operatörlerle ilişkili sistem uygulamaları içinde çalışıp çalışmadığını doğrular; eğer öyleyse, yürütme durdurulur. Ayrıca, sistem dizinlerinde belirli dosya adları tespit edildiğinde kötü amaçlı yazılımı sonlandıran yerleşik bir kapatma anahtarı da bulunur.

Arka kapı daha sonra, temel sistem işlevselliğini yöneten ve Zygote tarafından önyükleme sırasında başlatılan ayrıcalıklı system_server işlemi içinde çalışıp çalışmadığını kontrol eder. Ortama bağlı olarak, kötü amaçlı yazılım iki bileşenden birini başlatır:

  • AKServer, temel komuta ve kontrol (C2) mantığını ve yürütme motorunu içerir.
  • AKClient, başlatılan her uygulamaya enjekte edilir ve AKServer ile iletişim köprüsü görevi görür.

Bu mimari, saldırganların kötü amaçlı yazılımları belirli uygulamalara uyarlamasına olanak tanır. Sunucu bileşeni, uygulama izinlerini verebilir veya iptal edebilir, coğrafi konum verilerini alabilir ve cihaz bilgilerini sızdırabilir. Ek güvenlik önlemleri, cihaz dilinin Çin saat diliminde Çince olarak ayarlanması veya Google Play Store veya Google Play Hizmetlerinin bulunmaması durumunda kötü amaçlı yazılımın sonlanmasını sağlar.

Operasyonel kriterleri karşıladıktan sonra, Keenadu C2 adresinin şifresini çözer ve şifrelenmiş cihaz meta verilerini iletir. Sunucu, mevcut yükleri detaylandıran şifrelenmiş bir JSON yapılandırmasıyla yanıt verir. Tespit edilmekten kaçınmak ve analizi zorlaştırmak için, arka kapı, ilk cihaz kontrolünden sonra yaklaşık iki buçuk ay boyunca yük teslimatını geciktirir. Saldırganlar, içerik dağıtım altyapısı olarak Alibaba Cloud'a güvenmektedir.

Kötü Amaçlı Modüller: Para Kazanma, Ele Geçirme ve Reklam Sahtekarlığı

Keenadu, çeşitli özel bileşenleri devreye sokabilen modüler bir kötü amaçlı yazılım platformu olarak işlev görür. Tanımlanan modüller şunlardır:

  • Keenadu Loader, Amazon, Shein ve Temu gibi popüler e-ticaret platformlarını hedef alarak yetkisiz sepet manipülasyonuna olanak sağlayabilir.
  • Clicker Loader, YouTube, Facebook, Google Digital Wellbeing ve Android sistem başlatıcısı gibi uygulamalara enjekte edilerek reklam öğeleriyle hileli bir şekilde etkileşime giriyor.
  • Google Chrome'u hedef alan bu modül, arama sorgularını ele geçirip alternatif arama motorlarına yönlendirmeyi amaçlamaktadır; ancak otomatik tamamlama seçenekleri bazen bu ele geçirme girişimini engelleyebilir.
  • Nova Clicker, sistem duvar kağıdı seçicisine entegre edilmiş olup, reklam içerikleriyle etkileşim kurmak için makine öğrenimi ve WebRTC'den yararlanmaktadır. Bu bileşen daha önce Doctor Web tarafından Phantom kod adıyla analiz edilmiştir.
  • Sistem başlatıcısına yerleştirilmiş olan Para Kazanma Modülünü yükleyerek, uygulama yüklemelerini yanlış şekilde ilişkilendirerek sahte reklam geliri elde edin.
  • Google Play Modülü, Google Ads reklam kimliğini alır ve modüller arası izleme ve mağdur tespiti için 'S_GA_ID3' anahtarı altında saklar.

Mevcut operasyonel odak noktası reklam sahtekarlığı olsa da, çerçevenin esnekliği gelecekte kimlik bilgilerinin çalınması ve kötü amaçlı faaliyetlerin genişletilmesi için önemli bir potansiyel sunmaktadır.

Dağıtım Kanallarının ve Ekosistem Bağlantılarının Genişletilmesi

Donanım yazılımı düzeyindeki yerleştirmenin ötesinde, ek dağıtım vektörleri de gözlemlenmiştir. Keenadu yükleyicisi, yüz tanıma hizmetleri ve başlatıcılar gibi temel sistem uygulamalarına yerleştirilmiştir. Benzer taktikler daha önce OTA güncelleme mekanizmalarını hedef alan Dwphon ile ilişkilendirilmişti.

Gözlemlenen bir diğer yöntem ise, BADBOX'a benzeyen ayrı bir önceden yüklenmiş arka kapı yazılımı tarafından zaten ele geçirilmiş sistemler içinde çalışmayı içeriyor. Triada ve BADBOX arasında altyapı örtüşmeleri de tespit edildi ve bu da botnet işbirliğine işaret ediyor. Mart 2025'te, markasız Android TV cihazlarını hedef alan Vo1d ile BADBOX arasında daha fazla bağlantı ortaya çıktı.

Keenadu, Hangzhou Denghong Technology Co., Ltd. tarafından Google Play'de yayınlanan truva atı bulaştırılmış akıllı kamera uygulamaları aracılığıyla da dağıtılmıştır. Etkilenen uygulamalar şunlardır:

  • Eoolii (com.taismart.global) – 100.000'den fazla indirme
  • Ziicam (com.ziicam.aws) – 100.000'den fazla indirme
  • Eyeplus – Gözlerinizdeki eviniz (com.closeli.eyeplus) – 100.000'den fazla indirme

Bu uygulamalar o zamandan beri Google Play'den kaldırıldı. Benzer sürümler Apple App Store'da da yayınlandı; ancak iOS sürümlerinde kötü amaçlı kod bulunmadığı için Keenadu'nun özellikle Android tabletleri hedeflemek üzere tasarlandığı sonucu güçleniyor.

Güvenlik Açısından Etkileri: Android’in Temel Güven Modeline Yönelik Bir Tehdit

Keenadu, libandroid_runtime.so içine entegre olması ve her uygulamanın bağlamında çalışmasına olanak sağlaması nedeniyle ciddi bir tehdit oluşturmaktadır. Bu durum, Android'in sanal alan modelini etkili bir şekilde baltalar ve tüm cihaz verilerine gizli erişim sağlar.

Standart izin kontrollerini atlatma yeteneği, bu kötü amaçlı yazılımı sınırsız sistem düzeyinde yetkiye sahip tam teşekküllü bir arka kapıya dönüştürüyor. Uygulamanın gelişmişliği, Android mimarisi, uygulama yaşam döngüsü yönetimi ve temel güvenlik mekanizmaları konusunda ileri düzey uzmanlığı gösteriyor.

Keenadu, ele geçirilen cihazlar üzerinde kalıcı ve uyarlanabilir kontrol sağlama yeteneğine sahip, büyük ölçekli ve son derece karmaşık bir kötü amaçlı yazılım platformu olarak öne çıkıyor. Şu anda öncelikle reklam sahtekarlığı için kullanılsa da, mimari derinliği, kimlik bilgilerinin çalınmasına ve daha geniş siber suç faaliyetlerine doğru tırmanma riskinin yüksek olduğunu gösteriyor.

trend

CIMB Bankası - Hesabınıza Para Transferi E-posta...

Kimlik avı, İstenmeyen e-posta
Finansal işlemlerle ilgili olduğu iddia edilen beklenmedik e-postalar, alıcıları maliyetli hatalar yapmaya yönlendirmek için sıklıkla kullanıldığından, ekstra dikkat gerektirir. Özellikle kullanıcıları ödemeleri gözden geçirmeye veya hesapları doğrulamaya zorlayan istenmeyen mesajlarla uğraşırken tetikte olmak çok önemlidir. 'CIMB Bankası – Hesabınıza Transfer' e-postaları tam olarak bu...

En çok görüntülenen

Yükleniyor...