СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:50
#ИБ

Keenadu: модульный бэкдор в прошивках Android

Keenadu представляет собой сложную и идущую в обход традиционных средств защиты угрозу для устройств Android. По данным отчёта, этот бэкдор, изначально идентифицированный как вариант Triada, внедряется в критически важные системные библиотеки и обеспечивает злоумышленникам долговременный контроль над заражёнными устройствами.

«Бэкдор Keenadu представляет собой сложную угрозу для устройств Android, используя уязвимости, главным образом, в поддельных версиях прошивок».

Краткий технический разбор

Keenadu использует модульную двухкомпонентную архитектуру: AKClient и AKServer. Ключевые моменты работы вредоносного ПО:

  • Интеграция в системные библиотеки: злоумышленники изменяют критически важные компоненты ОС, в частности библиотеку libandroid_runtime.so, используемую системой логирования приложений Android.
  • Двухчастная архитектура: AKClient внедряется в запущенные приложения и обеспечивает связь с AKServer через защищённые широковещательные механизмы, позволяя загружать и выполнять произвольные DEX-файлы в контексте приложений. AKServer отвечает за первоначальную доставку полезной нагрузки и управление заражёнными клиентами.
  • Модульность и адаптивность: бэкдор доставляет разные модули, нацеленные на конкретные приложения и функции (эксфильтрация данных, перехват ввода и т.д.).
  • Скрытность: используются техники отсрочки активации полезной нагрузки и иные методы, снижающие вероятность обнаружения.

Модули и цели атак

Keenadu может доставлять несколько специализированных модулей. Среди зафиксированных сценариев:

  • Модуль «clicker-loader» — собирает местоположение устройства и параметры сетевого соединения, отправляет эти данные на сервер C2, откуда получает зашифрованные файлы полезной нагрузки.
  • Модуль для браузеров — нацеливается на Google Chrome, использует жизненный цикл браузера для внедрения кода и перехвата ввода пользователя.
  • Модули для онлайн-магазинов и системных приложений — ориентированы на кражу учётных данных, перехват транзакций и показ назойливой рекламы.

Векторы распространения

Обнаруженные образцы указывают на несколько путей компрометации устройств:

  • Встраивание в системные приложения и разделы ROM — свидетельство того, что вредоносное ПО может быть интегрировано в прошивки устройств.
  • Появление модулей в легитимных приложениях, распространяемых через Google Play, что указывает на возможность компрометации цепочки поставок приложений.
  • Использование поддельных или модифицированных прошивок, распространяемых через сторонние ресурсы.

Масштаб заражения и география

Телеметрия, приведённая в отчёте, сообщает о более чем 13 000 пострадавших устройств по всему миру. Наиболее заметные географические локализации — Россия, Япония и Германия. Такая география указывает на широкое распространение и потенциально целенаправленные кампании.

Связи с другими угрозами

Наблюдаемое взаимодействие Keenadu с ботнетами типа BADBOX позволяет предположить наличие общих кодовых баз либо операционных фреймворков между этими угрозами. Это указывает на конкурентный и взаимосвязанный ландшафт современных Android-атак.

Последствия для пользователей и сложности удаления

Поражение системных разделов и библиотек осложняет процедуру очистки устройства. Обычный удаление приложения или сброс настроек может быть недостаточным, поскольку заражённые компоненты могут находиться в прошивке:

  • Пользователи часто сталкиваются с навязчивой рекламой, перехватом ввода и утечками данных.
  • Удаление изменённой системной библиотеки без восстановления оригинальной прошивки может нарушить работоспособность устройства.
  • Для полного удаления может потребоваться перепрошивка устройства официальной сборкой или обращение в сервисный центр.

Рекомендации по защите

В свете выявленных особенностей вредоносного ПО эксперты рекомендуют:

  • Не устанавливать кастомные или непроверенные прошивки; скачивать обновления и прошивки только с официальных сайтов производителя.
  • Избегать sideload и сторонних магазинов приложений; проверять репутацию приложений в Google Play и отзывы пользователей.
  • Использовать проверенные решения мобильной безопасности и актуальную антивирусную защиту, которая может обнаруживать поведенческие индикаторы модульной угрозы.
  • Если подозревается системная компрометация — обратиться к производителю устройства или в авторизованный сервис для перепрошивки официальной прошивкой; простой factory reset может быть недостаточен.
  • Ограничить права приложений, регулярно проверять разрешения и мониторить аномальную активность (высокий трафик в фоне, неизвестные процессы, частые всплывающие окна с рекламой).

Вывод

Keenadu демонстрирует высокую степень интеграции в системный уровень Android и значительную модульность, что делает угрозу серьёзной как для отдельных пользователей, так и для экосистемы мобильной безопасности в целом. Встроенность в прошивки и способность маскироваться через отсрочку активации усложняют обнаружение и удаление, поэтому критически важны превентивные меры, внимательное отношение к источникам ПО и сотрудничество с производителями для восстановления целостности устройств.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: