Бекдор Keenadu
Складний бекдор для Android, відомий як Keenadu, був виявлений глибоко вбудований у прошивку пристрою, що дозволяє непомітно збирати дані та дистанційно керувати зараженими системами. Дослідники безпеки виявили загрозу в прошивці, пов'язаній з кількома постачальниками, включаючи Alldocube, з доказами, що свідчать про те, що компрометація сталася на етапі складання прошивки. Keenadu присутній у прошивці Alldocube iPlay 50 mini Pro щонайменше з 18 серпня 2023 року.
У кожному підтвердженому випадку шкідливий код знаходився в образах прошивки планшета з дійсними цифровими підписами, що підвищувало ймовірність компрометації ланцюга поставок. Деякі заражені пакети прошивки розповсюджувалися через оновлення по бездротовій мережі (OTA). Після встановлення бекдор впроваджується в пам'ять кожної програми під час запуску, працюючи як багатоетапний завантажувач, який надає зловмисникам необмежений віддалений контроль над пристроєм.
Телеметрія показує, що 13 715 користувачів у всьому світі стикалися з Keenadu або пов'язаними з ним модулями. Найбільша концентрація заражень спостерігалася в Росії, Японії, Німеччині, Бразилії та Нідерландах.
Зміст
Глибокі маніпуляції системою: використання основних процесів Android
Про Keenadu було публічно розкрито наприкінці грудня 2025 року та описано як бекдор, імплантований у libandroid_runtime.so, критично важливу спільну бібліотеку, що завантажується під час процесу завантаження Android. Після активації шкідливе програмне забезпечення впроваджується в процес Zygote, що раніше спостерігалося у шкідливого програмного забезпечення для Android Triada.
Шкідлива процедура запускається за допомогою функції, вставленої в libandroid_runtime.so. Спочатку вона перевіряє, чи виконується вона всередині системних програм, пов'язаних із сервісами Google або мобільними операторами, такими як Sprint та T-Mobile; якщо так, виконання зупиняється. Вбудований ключ аварійного завершення роботи також завершує роботу шкідливого програмного забезпечення, коли в системних каталогах виявляються певні імена файлів.
Потім бекдор перевіряє, чи працює він у привілейованому процесі system_server, який керує основними функціями системи та запускається Zygote під час завантаження. Залежно від середовища, шкідливе програмне забезпечення ініціалізує один із двох компонентів:
- AKServer, який містить основну логіку командування та управління (C2) та механізм виконання.
- AKClient, який вводиться в кожну запущену програму та діє як комунікаційний міст до AKServer
Ця архітектура дозволяє зловмисникам адаптувати шкідливе навантаження до певних програм. Серверний компонент може надавати або скасовувати дозволи програм, отримувати дані геолокації та витягувати інформацію про пристрій. Додаткові заходи безпеки гарантують, що шкідливе програмне забезпечення припинить свою роботу, якщо для мови пристрою встановлено китайську мову в китайському часовому поясі або якщо відсутні магазин Google Play чи сервіси Google Play.
Після досягнення робочих критеріїв Keenadu розшифровує свою C2-адресу та передає зашифровані метадані пристрою. Сервер відповідає зашифрованою конфігурацією JSON з детальним описом доступних корисних навантажень. Щоб уникнути виявлення та ускладнити аналіз, бекдор затримує доставку корисних навантажень приблизно на два з половиною місяці після початкової реєстрації пристрою. Зловмисники покладаються на Alibaba Cloud як свою інфраструктуру доставки контенту.
Шкідливі модулі: монетизація, викрадення та шахрайство з рекламою
Keenadu функціонує як модульна платформа шкідливого програмного забезпечення, здатна розгортати різні спеціалізовані компоненти. Виявлені модулі включають наступне:
- Keenadu Loader, націлений на популярні платформи електронної комерції, такі як Amazon, Shein та Temu, потенційно уможливлюючи несанкціоноване маніпулювання кошиком.
- Clicker Loader вставлявся в такі додатки, як YouTube, Facebook, Google Digital Wellbeing та панель запуску системи Android, для шахрайської взаємодії з рекламними елементами.
- Модуль Google Chrome, що орієнтований на Google Chrome для перехоплення пошукових запитів та перенаправлення їх на альтернативні пошукові системи, хоча автозаповнення іноді може перешкоджати спробі перехоплення.
- Nova Clicker, вбудований у вибір шпалер системи, який використовує машинне навчання та WebRTC для взаємодії з рекламним контентом. Цей компонент раніше аналізувався компанією Doctor Web під кодовою назвою Phantom.
- Встановіть модуль монетизації, вбудований у панель запуску системи, для отримання шахрайського доходу від реклами шляхом неправильного приписування встановлень програм.
- Модуль Google Play, який отримує рекламний ідентифікатор Google Ads та зберігає його під ключем «S_GA_ID3» для міжмодульного відстеження та ідентифікації жертв.
Хоча поточна операційна увага зосереджена на рекламному шахрайстві, гнучкість цієї системи створює значний потенціал для крадіжки облікових даних та розширення зловмисних операцій у майбутньому.
Розширення каналів розповсюдження та екосистемних зв’язків
Окрім імплантації на рівні прошивки, спостерігалися додаткові вектори поширення. Завантажувач Keenadu був вбудований в основні системні програми, такі як служби розпізнавання облич та лаунчери. Подібні тактики раніше були пов'язані з Dwphon, який був спрямований на механізми OTA-оновлень.
Інший спостережуваний метод включає роботу в системах, які вже були скомпрометовані окремим попередньо встановленим бекдором, що нагадує BADBOX. Також було виявлено перекриття інфраструктури між Triada та BADBOX, що свідчить про співпрацю ботнетів. У березні 2025 року з'явилися подальші зв'язки між BADBOX та Vo1d, які були спрямовані на пристрої Android TV інших брендів.
Keenadu також поширювався через троянські програми для смарт-камер, опубліковані в Google Play компанією Hangzhou Denghong Technology Co., Ltd. Серед уражених програм були:
- Eoolii (com.taismart.global) – понад 100 000 завантажень
- Ziicam (com.ziicam.aws) – понад 100 000 завантажень
- Eyeplus – Ваш дім у ваших очах (com.closeli.eyeplus) – понад 100 000 завантажень
Ці програми згодом було видалено з Google Play. Аналогічні версії також були опубліковані в Apple App Store; однак варіанти для iOS не містили шкідливого коду, що підтверджує висновок про те, що Keenadu спеціально розроблено для атаки на планшети Android.
Наслідки для безпеки: Загроза основній моделі довіри Android
Keenadu становить серйозну загрозу через свою інтеграцію в libandroid_runtime.so, що дозволяє йому працювати в контексті кожної програми. Це фактично підриває модель пісочниці Android та забезпечує прихований доступ до всіх даних пристрою.
Його здатність обходити стандартні засоби контролю дозволів перетворює шкідливе програмне забезпечення на повноцінний бекдор з необмеженими повноваженнями на системному рівні. Складність реалізації демонструє передові знання в архітектурі Android, управлінні життєвим циклом додатків та основних механізмах безпеки.
Keenadu виділяється як масштабна та надзвичайно складна платформа шкідливого програмного забезпечення, здатна забезпечувати постійний та адаптивний контроль над скомпрометованими пристроями. Хоча наразі вона використовується переважно для рекламного шахрайства, її архітектурна глибина свідчить про реальний ризик ескалації до крадіжки облікових даних та ширших кіберзлочинних операцій.
