Keenadu Backdoor

تم اكتشاف ثغرة أمنية متطورة تُعرف باسم "كينادو" في نظام أندرويد، مُدمجة بعمق في البرامج الثابتة للأجهزة، مما يُتيح جمع البيانات خلسةً والتحكم عن بُعد في الأنظمة المُصابة. وقد كشف باحثون أمنيون عن هذا التهديد في برامج ثابتة مرتبطة بالعديد من الشركات المُصنّعة، بما في ذلك شركة "ألدوكيوب"، حيث تُشير الأدلة إلى أن الاختراق حدث أثناء مرحلة بناء البرامج الثابتة. وتتواجد ثغرة "كينادو" في البرامج الثابتة لجهاز "ألدوكيوب آي بلاي 50 ميني برو" منذ 18 أغسطس/آب 2023 على الأقل.

في جميع الحالات المؤكدة، كان الكود الخبيث موجودًا داخل صور البرامج الثابتة للأجهزة اللوحية التي تحمل توقيعات رقمية صالحة، مما يعزز احتمالية اختراق سلسلة التوريد. تم توزيع بعض حزم البرامج الثابتة المصابة عبر تحديثات الهواء (OTA). بمجرد تثبيته، يقوم الباب الخلفي بحقن نفسه في مساحة ذاكرة كل تطبيق عند تشغيله، ويعمل كبرنامج تحميل متعدد المراحل يمنح المهاجمين تحكمًا عن بُعد غير مقيد بالجهاز.

تشير بيانات القياس عن بُعد إلى أن 13715 مستخدمًا حول العالم قد تعرضوا لفيروس كينادو أو وحداته المرتبطة به. وقد لوحظ أعلى تركيز للإصابات في روسيا واليابان وألمانيا والبرازيل وهولندا.

التلاعب العميق بالنظام: استغلال عمليات نظام أندرويد الأساسية

تم الكشف عن برنامج Keenadu الخبيث علنًا في أواخر ديسمبر 2025، ووُصف بأنه باب خلفي مُدمج في مكتبة libandroid_runtime.so، وهي مكتبة مشتركة بالغة الأهمية يتم تحميلها أثناء عملية بدء تشغيل نظام أندرويد. وبمجرد تفعيله، يقوم البرنامج الخبيث بحقن نفسه في عملية Zygote، وهو سلوك سبق رصده في برنامج Triada الخبيث لنظام أندرويد.

يتم تشغيل البرنامج الخبيث عبر دالة مُدرجة في ملف libandroid_runtime.so. يتحقق البرنامج أولًا مما إذا كان يعمل داخل تطبيقات النظام المرتبطة بخدمات جوجل أو شركات الاتصالات مثل سبرينت وتي موبايل؛ وفي حال وجودها، يتوقف التنفيذ. كما يقوم مفتاح إيقاف مدمج بإنهاء البرنامج الخبيث عند اكتشاف أسماء ملفات محددة في مجلدات النظام.

ثم يتحقق الباب الخلفي مما إذا كان يعمل ضمن عملية system_server ذات الامتيازات، والتي تتحكم في وظائف النظام الأساسية ويتم تشغيلها بواسطة Zygote أثناء بدء التشغيل. وبحسب البيئة، يقوم البرنامج الخبيث بتهيئة أحد مكونين:

• AKServer، الذي يحتوي على منطق التحكم والسيطرة الأساسي ومحرك التنفيذ
• يتم تضمين AKClient في كل تطبيق يتم تشغيله ويعمل كجسر اتصال مع AKServer

تتيح هذه البنية للمهاجمين تصميم حمولات خبيثة مخصصة لتطبيقات محددة. يمكن لمكون الخادم منح أو إلغاء أذونات التطبيقات، واسترجاع بيانات الموقع الجغرافي، واستخراج معلومات الجهاز. تضمن إجراءات الحماية الإضافية إيقاف البرمجية الخبيثة إذا كانت لغة الجهاز مضبوطة على الصينية ضمن منطقة زمنية صينية، أو إذا كان متجر جوجل بلاي أو خدمات جوجل بلاي غير متوفرة.

عند استيفاء المعايير التشغيلية، يقوم برنامج Keenadu بفك تشفير عنوان خادم التحكم والسيطرة الخاص به، ثم يرسل بيانات تعريف الجهاز المشفرة. ويستجيب الخادم بتكوين JSON مشفر يتضمن تفاصيل الحمولات المتاحة. ولتجنب الكشف عنه وتعقيد عملية التحليل، يؤخر البرنامج الخبيث تسليم الحمولة لمدة شهرين ونصف تقريبًا بعد تسجيل دخول الجهاز الأولي. ويعتمد المهاجمون على Alibaba Cloud كبنية تحتية لتوصيل المحتوى.

الوحدات الخبيثة: تحقيق الربح، والاختراق، والاحتيال الإعلاني

يعمل برنامج Keenadu كمنصة برمجيات خبيثة معيارية قادرة على نشر مكونات متخصصة متنوعة. تشمل الوحدات المحددة ما يلي:

• برنامج Keenadu Loader يستهدف منصات التجارة الإلكترونية الشهيرة مثل Amazon و Shein و Temu، مما قد يتيح التلاعب غير المصرح به بسلة التسوق.
• تم حقن برنامج Clicker Loader في تطبيقات مثل YouTube وFacebook وGoogle Digital Wellbeing ومنصة تشغيل نظام Android للتفاعل بشكل احتيالي مع عناصر الإعلان.
• وحدة جوجل كروم تستهدف جوجل كروم لاختطاف استعلامات البحث وإعادة توجيهها إلى محركات بحث بديلة، على الرغم من أن اختيارات الإكمال التلقائي قد تعطل محاولة الاختطاف في بعض الأحيان.
• يُعدّ Nova Clicker مُدمجًا ضمن مُنتقي خلفيات النظام، ويستفيد من تقنيات التعلّم الآلي وWebRTC للتفاعل مع المحتوى الإعلاني. وقد سبق تحليل هذا المُكوّن تحت الاسم الرمزي Phantom بواسطة Doctor Web.
• قم بتثبيت وحدة تحقيق الدخل، المدمجة في مشغل النظام، لتوليد إيرادات إعلانية احتيالية عن طريق نسب عمليات تثبيت التطبيقات بشكل خاطئ.
• وحدة Google Play، التي تسترجع معرف إعلانات Google Ads وتخزنه تحت المفتاح 'S_GA_ID3' لتتبع الوحدات المتعددة وتحديد هوية الضحية.

بينما ينصب التركيز التشغيلي الحالي على الاحتيال الإعلاني، فإن مرونة الإطار تشكل إمكانات كبيرة لسرقة بيانات الاعتماد وتوسيع نطاق العمليات الخبيثة في المستقبل.

توسيع قنوات التوزيع والروابط البيئية

إلى جانب زرع البرامج الضارة على مستوى البرامج الثابتة، لوحظت قنوات توزيع إضافية. فقد تم دمج برنامج Keenadu في تطبيقات النظام الأساسية مثل خدمات التعرف على الوجه وبرامج تشغيل التطبيقات. وارتبطت أساليب مماثلة سابقًا ببرنامج Dwphon، الذي استهدف آليات تحديث البرامج عبر الهواء (OTA).

تتضمن إحدى الطرق الملحوظة الأخرى العمل داخل أنظمة مخترقة مسبقًا بواسطة باب خلفي منفصل مُثبّت مسبقًا يُشبه برنامج BADBOX. كما تم تحديد تداخلات في البنية التحتية بين Triada وBADBOX، مما يُشير إلى تعاون بين شبكات الروبوتات. في مارس 2025، ظهرت روابط إضافية بين BADBOX وVo1d، التي استهدفت أجهزة Android TV غير الأصلية.

تم توزيع برنامج Keenadu أيضًا من خلال تطبيقات الكاميرات الذكية المصابة ببرامج خبيثة، والتي نشرتها شركة Hangzhou Denghong Technology Co., Ltd. على متجر Google Play. وشملت التطبيقات المتأثرة ما يلي:

• Eoolii (com.taismart.global) – أكثر من 100,000 عملية تنزيل
• زيكام (com.ziicam.aws) – أكثر من 100,000 عملية تنزيل
• آي بلس – منزلك في عينيك (com.closeli.eyeplus) – أكثر من 100,000 عملية تنزيل

تمت إزالة هذه التطبيقات من متجر جوجل بلاي. كما نُشرت نسخ مماثلة منها على متجر تطبيقات أبل؛ إلا أن نسخ نظام iOS لم تحتوي على أي برمجيات خبيثة، مما يعزز الاستنتاج بأن تطبيق Keenadu مصمم خصيصًا لاستهداف أجهزة أندرويد اللوحية.

الآثار الأمنية: تهديد لنموذج الثقة الأساسي لنظام أندرويد

يمثل برنامج Keenadu تهديدًا خطيرًا نظرًا لتكامله مع مكتبة libandroid_runtime.so، مما يسمح له بالعمل ضمن سياق كل تطبيق. وهذا يُقوّض فعليًا نموذج الحماية (Sandboxing) الخاص بنظام Android، ويُتيح الوصول الخفي إلى جميع بيانات الجهاز.

إن قدرة هذا البرنامج الخبيث على تجاوز ضوابط الأذونات القياسية تحوّله إلى باب خلفي متكامل يتمتع بصلاحيات غير محدودة على مستوى النظام. ويُظهر مدى تعقيد تنفيذه خبرةً متقدمةً في بنية نظام أندرويد، وإدارة دورة حياة التطبيقات، وآليات الأمان الأساسية.

يتميز برنامج Keenadu الخبيث بكونه منصة واسعة النطاق ومعقدة للغاية، قادرة على توفير سيطرة مستمرة وقابلة للتكيف على الأجهزة المخترقة. ورغم استخدامه حاليًا بشكل أساسي في عمليات الاحتيال الإعلاني، إلا أن عمق بنيته يشير إلى خطر حقيقي للتصعيد نحو سرقة بيانات الاعتماد وعمليات إجرامية إلكترونية أوسع نطاقًا.