Cửa sau Keenadu

Một loại mã độc Android tinh vi có tên Keenadu đã được phát hiện nhúng sâu trong phần mềm firmware của thiết bị, cho phép thu thập dữ liệu âm thầm và điều khiển từ xa các hệ thống bị nhiễm. Các nhà nghiên cứu bảo mật đã phát hiện ra mối đe dọa này trong firmware liên kết với nhiều nhà cung cấp, bao gồm cả Alldocube, với bằng chứng cho thấy sự xâm nhập xảy ra trong giai đoạn xây dựng firmware. Keenadu đã có mặt trong firmware của Alldocube iPlay 50 mini Pro ít nhất từ ngày 18 tháng 8 năm 2023.

Trong mọi trường hợp được xác nhận, mã độc hại nằm trong các ảnh firmware của máy tính bảng có chữ ký số hợp lệ, làm tăng khả năng chuỗi cung ứng bị xâm phạm. Một số gói firmware bị nhiễm được phân phối qua cập nhật không dây (OTA). Sau khi được cài đặt, phần mềm độc hại sẽ tự chèn vào bộ nhớ của mọi ứng dụng khi khởi chạy, hoạt động như một trình tải đa giai đoạn cho phép kẻ tấn công điều khiển từ xa thiết bị một cách không hạn chế.

Dữ liệu đo từ xa cho thấy 13.715 người dùng trên toàn thế giới đã tiếp xúc với Keenadu hoặc các mô-đun liên quan. Mật độ lây nhiễm cao nhất được ghi nhận ở Nga, Nhật Bản, Đức, Brazil và Hà Lan.

Thao túng hệ thống chuyên sâu: Khai thác các tiến trình cốt lõi của Android

Keenadu được công khai vào cuối tháng 12 năm 2025 và được mô tả là một phần mềm cửa hậu được cài đặt bên trong libandroid_runtime.so, một thư viện chia sẻ quan trọng được tải trong quá trình khởi động Android. Sau khi kích hoạt, phần mềm độc hại này sẽ tự tiêm vào tiến trình Zygote, hành vi này trước đây đã được quan sát thấy ở phần mềm độc hại Android Triada.

Chương trình độc hại được kích hoạt thông qua một hàm được chèn vào libandroid_runtime.so. Đầu tiên, nó kiểm tra xem có đang chạy bên trong các ứng dụng hệ thống liên kết với dịch vụ của Google hoặc các nhà mạng di động như Sprint và T-Mobile hay không; nếu có, quá trình thực thi sẽ bị dừng lại. Một công tắc tắt tích hợp cũng sẽ chấm dứt phần mềm độc hại khi phát hiện các tên tệp cụ thể trong các thư mục hệ thống.

Sau đó, phần mềm độc hại sẽ kiểm tra xem nó có đang hoạt động trong tiến trình system_server có quyền ưu tiên hay không. Tiến trình này quản lý các chức năng cốt lõi của hệ thống và được Zygote khởi chạy trong quá trình khởi động. Tùy thuộc vào môi trường, phần mềm độc hại sẽ khởi tạo một trong hai thành phần:

• AKServer, chứa logic điều khiển và kiểm soát (C2) cốt lõi cùng công cụ thực thi.
• AKClient được tích hợp vào mỗi ứng dụng được khởi chạy và hoạt động như một cầu nối liên lạc với AKServer.

Kiến trúc này cho phép kẻ tấn công tùy chỉnh các phần mềm độc hại cho các ứng dụng cụ thể. Thành phần máy chủ có thể cấp hoặc thu hồi quyền truy cập ứng dụng, truy xuất dữ liệu định vị địa lý và đánh cắp thông tin thiết bị. Các biện pháp bảo vệ bổ sung đảm bảo phần mềm độc hại sẽ tự động chấm dứt nếu ngôn ngữ thiết bị được đặt thành tiếng Trung trong múi giờ Trung Quốc, hoặc nếu không có Google Play Store hoặc Google Play Services.

Sau khi đáp ứng các tiêu chí hoạt động, Keenadu giải mã địa chỉ C2 của nó và truyền siêu dữ liệu thiết bị được mã hóa. Máy chủ phản hồi bằng cấu hình JSON được mã hóa, nêu chi tiết các payload có sẵn. Để tránh bị phát hiện và làm phức tạp quá trình phân tích, phần mềm độc hại này trì hoãn việc truyền tải payload trong khoảng hai tháng rưỡi sau khi thiết bị được đăng ký lần đầu. Những kẻ tấn công dựa vào Alibaba Cloud làm cơ sở hạ tầng phân phối nội dung của chúng.

Các mô-đun độc hại: Kiếm tiền, chiếm quyền điều khiển và gian lận quảng cáo

Keenadu hoạt động như một nền tảng phần mềm độc hại dạng mô-đun, có khả năng triển khai nhiều thành phần chuyên biệt khác nhau. Các mô-đun đã được xác định bao gồm:

• Keenadu Loader nhắm mục tiêu vào các nền tảng thương mại điện tử phổ biến như Amazon, Shein và Temu, có khả năng cho phép thao tác giỏ hàng trái phép.
• Clicker Loader được cài đặt vào các ứng dụng như YouTube, Facebook, Google Digital Wellbeing và trình khởi chạy hệ thống Android để tương tác gian lận với các yếu tố quảng cáo.
• Mô-đun Google Chrome nhắm mục tiêu vào trình duyệt Google Chrome để chiếm quyền kiểm soát các truy vấn tìm kiếm và chuyển hướng chúng đến các công cụ tìm kiếm khác, mặc dù các lựa chọn tự động hoàn thành đôi khi có thể làm gián đoạn nỗ lực chiếm quyền kiểm soát.
• Nova Clicker, được nhúng trong trình chọn hình nền hệ thống và sử dụng học máy cùng công nghệ WebRTC để tương tác với nội dung quảng cáo. Thành phần này trước đây đã được Doctor Web phân tích dưới tên mã Phantom.
• Cài đặt Mô-đun Kiếm tiền, được nhúng trong trình khởi chạy hệ thống để tạo ra doanh thu quảng cáo gian lận bằng cách gán sai số lượt cài đặt ứng dụng.
• Mô-đun Google Play, có chức năng truy xuất ID quảng cáo Google Ads và lưu trữ nó dưới khóa 'S_GA_ID3' để theo dõi đa mô-đun và xác định nạn nhân.

Mặc dù trọng tâm hoạt động hiện tại tập trung vào gian lận quảng cáo, tính linh hoạt của khuôn khổ này mang lại tiềm năng đáng kể cho việc đánh cắp thông tin đăng nhập và mở rộng các hoạt động độc hại trong tương lai.

Mở rộng kênh phân phối và liên kết hệ sinh thái

Ngoài việc cấy ghép ở cấp độ phần mềm nhúng, các phương thức phân phối bổ sung đã được phát hiện. Trình tải Keenadu đã được nhúng vào các ứng dụng hệ thống cốt lõi như dịch vụ nhận diện khuôn mặt và trình khởi chạy ứng dụng. Các chiến thuật tương tự trước đây đã được liên kết với Dwphon, nhắm mục tiêu vào các cơ chế cập nhật OTA.

Một phương pháp khác được quan sát thấy liên quan đến việc hoạt động trong các hệ thống đã bị xâm nhập bởi một phần mềm cửa hậu được cài đặt sẵn riêng biệt, tương tự như BADBOX. Sự trùng lặp về cơ sở hạ tầng cũng đã được xác định giữa Triada và BADBOX, cho thấy sự hợp tác giữa các mạng botnet. Vào tháng 3 năm 2025, các kết nối khác đã xuất hiện giữa BADBOX và Vo1d, nhắm mục tiêu vào các thiết bị Android TV không chính hãng.

Keenadu cũng được phát tán thông qua các ứng dụng camera thông minh bị nhiễm mã độc Trojan do Công ty TNHH Công nghệ Hàng Châu Đạt Trung phát hành trên Google Play. Các ứng dụng bị ảnh hưởng bao gồm:

• Eoolii (com.taismart.global) – hơn 100.000 lượt tải xuống
• Ziicam (com.ziicam.aws) – hơn 100.000 lượt tải xuống
• Eyeplus – Ngôi nhà của bạn trong đôi mắt (com.closeli.eyeplus) – hơn 100.000 lượt tải xuống

Các ứng dụng này sau đó đã bị xóa khỏi Google Play. Các phiên bản tương đương cũng đã được phát hành trên Apple App Store; tuy nhiên, các phiên bản iOS không chứa mã độc hại, củng cố kết luận rằng Keenadu được thiết kế đặc biệt để nhắm mục tiêu vào máy tính bảng Android.

Hậu quả về bảo mật: Một mối đe dọa đối với mô hình tin cậy cốt lõi của Android

Keenadu представляет mối đe dọa nghiêm trọng do được tích hợp vào libandroid_runtime.so, cho phép nó hoạt động trong ngữ cảnh của mọi ứng dụng. Điều này làm suy yếu mô hình hộp cát của Android và cung cấp quyền truy cập bí mật vào tất cả dữ liệu thiết bị.

Khả năng vượt qua các cơ chế kiểm soát quyền truy cập tiêu chuẩn biến phần mềm độc hại này thành một cửa hậu hoàn chỉnh với quyền hạn không giới hạn ở cấp hệ thống. Sự tinh vi trong cách triển khai thể hiện chuyên môn cao về kiến trúc Android, quản lý vòng đời ứng dụng và các cơ chế bảo mật cốt lõi.

Keenadu nổi bật như một nền tảng phần mềm độc hại quy mô lớn và cực kỳ phức tạp, có khả năng kiểm soát liên tục và linh hoạt các thiết bị bị xâm nhập. Mặc dù hiện tại chủ yếu được sử dụng cho mục đích gian lận quảng cáo, nhưng chiều sâu kiến trúc của nó cho thấy nguy cơ leo thang đáng kể hướng tới việc đánh cắp thông tin đăng nhập và các hoạt động tội phạm mạng rộng hơn.