Keenadu Backdoor

Zidentyfikowano zaawansowanego backdoora Androida o nazwie Keenadu, osadzonego głęboko w oprogramowaniu sprzętowym urządzenia, umożliwiającego ciche zbieranie danych i zdalne sterowanie zainfekowanymi systemami. Badacze bezpieczeństwa odkryli zagrożenie w oprogramowaniu sprzętowym powiązanym z wieloma dostawcami, w tym Alldocube, a dowody wskazują, że do ataku doszło na etapie kompilacji oprogramowania. Keenadu jest obecny w oprogramowaniu sprzętowym Alldocube iPlay 50 mini Pro co najmniej od 18 sierpnia 2023 roku.

W każdym potwierdzonym przypadku złośliwy kod znajdował się w obrazach oprogramowania układowego tabletu, które zawierały prawidłowe podpisy cyfrowe, co zwiększało prawdopodobieństwo naruszenia łańcucha dostaw. Niektóre zainfekowane pakiety oprogramowania układowego były dystrybuowane za pośrednictwem aktualizacji OTA (over-the-air). Po zainstalowaniu, backdoor wstrzykuje się do pamięci każdej aplikacji podczas jej uruchamiania, działając jako wieloetapowy moduł ładujący, który zapewnia atakującym nieograniczoną zdalną kontrolę nad urządzeniem.

Dane telemetryczne wskazują, że 13 715 użytkowników na całym świecie zetknęło się z Keenadu lub powiązanymi z nim modułami. Największe skupisko infekcji zaobserwowano w Rosji, Japonii, Niemczech, Brazylii i Holandii.

Głęboka manipulacja systemem: wykorzystywanie podstawowych procesów Androida

Keenadu został ujawniony publicznie pod koniec grudnia 2025 roku i opisany jako backdoor wszczepiony w libandroid_runtime.so, krytyczną bibliotekę współdzieloną ładowaną podczas rozruchu systemu Android. Po aktywacji złośliwe oprogramowanie wstrzykuje się do procesu Zygote, co było wcześniej obserwowane w złośliwym oprogramowaniu Triada dla systemu Android.

Szkodliwa procedura jest uruchamiana za pomocą funkcji wstawionej do pliku libandroid_runtime.so. Najpierw weryfikuje ona, czy jest wykonywana w aplikacjach systemowych powiązanych z usługami Google lub operatorami komórkowymi, takimi jak Sprint i T-Mobile; jeśli tak, wykonywanie jest zatrzymywane. Wbudowany wyłącznik awaryjny zatrzymuje również działanie złośliwego oprogramowania po wykryciu określonych nazw plików w katalogach systemowych.

Następnie backdoor sprawdza, czy działa w ramach uprzywilejowanego procesu system_server, który zarządza podstawowymi funkcjami systemu i jest uruchamiany przez Zygote podczas rozruchu. W zależności od środowiska, złośliwe oprogramowanie inicjuje jeden z dwóch komponentów:

• AKServer, który zawiera podstawową logikę poleceń i kontroli (C2) oraz moduł wykonawczy
• AKClient, który jest wstrzykiwany do każdej uruchomionej aplikacji i działa jako most komunikacyjny do AKServer

Ta architektura pozwala atakującym dostosowywać złośliwe oprogramowanie do konkretnych aplikacji. Komponent serwerowy może przyznawać lub cofać uprawnienia aplikacji, pobierać dane geolokalizacyjne i wykradać informacje o urządzeniu. Dodatkowe zabezpieczenia gwarantują, że złośliwe oprogramowanie zostanie przerwane, jeśli język urządzenia jest ustawiony na chiński w chińskiej strefie czasowej lub jeśli Sklep Google Play lub Usługi Google Play są niedostępne.

Po spełnieniu kryteriów operacyjnych Keenadu odszyfrowuje swój adres C2 i przesyła zaszyfrowane metadane urządzenia. Serwer odpowiada zaszyfrowaną konfiguracją JSON, zawierającą szczegółowe informacje o dostępnych ładunkach. Aby uniknąć wykrycia i skomplikować analizę, backdoor opóźnia dostarczenie ładunku o około dwa i pół miesiąca od momentu pierwszego zgłoszenia urządzenia. Atakujący wykorzystują platformę Alibaba Cloud jako infrastrukturę dostarczania treści.

Moduły złośliwe: monetyzacja, przechwytywanie i oszustwa reklamowe

Keenadu działa jako modułowa platforma malware, zdolna do wdrażania różnych wyspecjalizowanych komponentów. Zidentyfikowane moduły obejmują:

• Keenadu Loader atakuje popularne platformy e-commerce, takie jak Amazon, Shein i Temu, potencjalnie umożliwiając nieautoryzowaną manipulację koszykiem.
• Clicker Loader wstrzykiwany jest do aplikacji takich jak YouTube, Facebook, Google Digital Wellbeing i programu uruchamiającego system Android w celu oszukańczej interakcji z elementami reklamowymi.
• Moduł Google Chrome mający na celu przechwytywanie zapytań wyszukiwania i przekierowywanie ich do alternatywnych wyszukiwarek, choć opcje automatycznego uzupełniania mogą czasami udaremniać próby przejęcia kontroli.
• Nova Clicker, osadzony w systemie wyboru tapet i wykorzystujący uczenie maszynowe oraz WebRTC do interakcji z treściami reklamowymi. Komponent ten był wcześniej analizowany pod nazwą kodową Phantom przez Doctor Web.
• Zainstaluj moduł monetyzacji osadzony w programie uruchamiającym system, aby generować dochód z fałszywych reklam poprzez niewłaściwe przypisywanie instalacji aplikacji.
• Moduł Google Play, który pobiera identyfikator reklamowy Google Ads i przechowuje go w kluczu „S_GA_ID3” w celu śledzenia międzymodułowego i identyfikacji ofiary.

Podczas gdy obecna działalność operacyjna skupia się na oszustwach reklamowych, elastyczność ram stwarza znaczne ryzyko kradzieży danych uwierzytelniających i rozszerzenia złośliwych działań w przyszłości.

Rozszerzanie kanałów dystrybucji i powiązań ekosystemowych

Poza implantacją na poziomie oprogramowania układowego, zaobserwowano dodatkowe wektory dystrybucji. Program ładujący Keenadu został wbudowany w podstawowe aplikacje systemowe, takie jak usługi rozpoznawania twarzy i programy uruchamiające. Podobne taktyki były wcześniej stosowane w firmie Dwphon, która celowała w mechanizmy aktualizacji OTA.

Inną zaobserwowaną metodą jest działanie w systemach, które zostały już zainfekowane przez oddzielny, preinstalowany backdoor przypominający BADBOX. Stwierdzono również nakładanie się infrastruktury między Triadą i BADBOX, co sugeruje współpracę botnetów. W marcu 2025 roku pojawiły się kolejne połączenia między BADBOX i Vo1d, których celem były telewizory z systemem Android innych marek.

Keenadu był również rozpowszechniany za pośrednictwem zainfekowanych trojanami aplikacji do inteligentnych kamer, opublikowanych w Google Play przez firmę Hangzhou Denghong Technology Co., Ltd. Wśród zagrożonych aplikacji znalazły się:

• Eoolii (com.taismart.global) – ponad 100 000 pobrań
• Ziicam (com.ziicam.aws) – ponad 100 000 pobrań
• Eyeplus – Twój dom w Twoich oczach (com.closeli.eyeplus) – ponad 100 000 pobrań

Aplikacje te zostały już usunięte z Google Play. Ich równoważne wersje zostały również opublikowane w Apple App Store; jednak warianty na iOS nie zawierały złośliwego kodu, co potwierdza wniosek, że Keenadu został stworzony specjalnie z myślą o tabletach z Androidem.

Konsekwencje dla bezpieczeństwa: zagrożenie dla podstawowego modelu zaufania Androida

Keenadu stanowi poważne zagrożenie ze względu na integrację z libandroid_runtime.so, co pozwala mu działać w kontekście każdej aplikacji. To skutecznie podważa model sandboxingu Androida i zapewnia ukryty dostęp do wszystkich danych urządzenia.

Jego zdolność do omijania standardowych kontroli uprawnień przekształca złośliwe oprogramowanie w pełnoprawne tylne drzwi z nieograniczonymi uprawnieniami na poziomie systemu. Zaawansowana implementacja świadczy o zaawansowanej wiedzy z zakresu architektury Androida, zarządzania cyklem życia aplikacji i podstawowych mechanizmów bezpieczeństwa.

Keenadu wyróżnia się jako platforma malware na dużą skalę i o wysokim stopniu złożoności, zdolna do zapewnienia trwałej i elastycznej kontroli nad zainfekowanymi urządzeniami. Chociaż obecnie jest wykorzystywana głównie do oszustw reklamowych, jej rozbudowana architektura sugeruje realne ryzyko eskalacji w kierunku kradzieży danych uwierzytelniających i szerszych działań cyberprzestępców.