Keenadu 固件后门通过签名 OTA 更新感染 Android 平板电脑
Source: The Hacker News
Overview
一个深植于设备固件的全新 Android 后门可以静默收集数据并远程控制设备,Kaspersky 的研究发现了这一点。该俄罗斯网络安全厂商在多个品牌的设备固件中发现了名为 Keenadu 的后门,其中包括 Alldocube。该后门在固件构建阶段被植入,Keenadu 已在 Alldocube iPlay 50 mini Pro 固件中被检测到,时间可追溯至 2023 年 8 月 18 日。所有案例中,后门均嵌入平板固件,且固件文件携带有效的数字签名。其他厂商的名称未予披露。
“在多个实例中,受损固件是通过 OTA 更新下发的,”安全研究员 Dmitry Kalinin 在今天发布的详尽分析中说道。 “后门的副本会在每个应用启动时加载到其地址空间。该恶意软件是一个多阶段加载器,赋予其操作者对受害者设备的无限远程控制能力。”
Keenadu 获取的一些有效载荷能够劫持浏览器的搜索引擎、变现新安装的应用,并悄悄与广告元素交互。一个载荷已在多个独立应用中被发现,这些应用通过第三方仓库以及 Google Play 和小米 GetApps 等官方市场分发。
遥测数据显示,全球已有 13,715 名用户遭遇了 Keenadu 或其模块,主要分布在俄罗斯、日本、德国、巴西和荷兰。
Keenadu 最早于 2025 年 12 月底由 Kaspersky 公开披露,描述其为 libandroid_runtime.so 中的后门——该关键共享库在启动时被加载。激活后,它会被注入到 Zygote 进程——这一行为也在 Android 恶意软件 Triada 中被观察到。
该恶意软件通过向 libandroid_runtime.so 添加的函数调用被触发,随后检查自身是否运行在属于 Google 服务或 Sprint、T‑Mobile 等运营商的系统应用中。如果是,则中止执行。它还包含一个自毁开关,如果在系统目录中发现特定文件则会自行终止。
“接下来,特洛伊木马会检查它是否运行在 system_server 进程中,”Kalinin 说。 “该进程控制整个系统并拥有最高权限;它由 Zygote 进程在启动时启动。”
如果检查通过,恶意软件会创建 AKServer 类的实例;否则会创建 AKClient 实例。AKServer 包含核心逻辑和指挥控制(C2)机制,而 AKClient 被注入到每个启动的应用中,充当通往 AKServer 的桥梁。
这种客户端‑服务器架构使 AKServer 能够执行针对特定目标应用定制的恶意有效载荷。AKServer 还公开了一个接口,供其他应用中下载的恶意模块使用,以授予或撤销任意应用的权限、获取设备位置并导出信息。
AKServer 组件会运行一系列检查,如果界面语言为中文且设备位于中国时区,或系统中缺少 Google Play Store/Google Play Services,则恶意软件会自行终止。满足条件后,特洛伊木马会解密 C2 地址并向服务器发送加密的设备元数据。
BHJsihx7mPxXXxJcq-xsWAvBgdcpVwFxYE4HrXYU9_pZWxyZIctY/s1700-e365/flaw.png)
在响应中,服务器返回一个加密的 JSON 对象,包含有效载荷的详细信息。新增的检查会阻止 C2 服务器在自首次签到起 2.5 个月 过去之前提供任何有效载荷。
“攻击者的服务器以对象数组的形式提供关于有效载荷的信息,” 卡巴斯基 解释道。 “每个对象包含有效载荷的下载链接、其 MD5 哈希、目标应用包名、目标进程”
攻击者选择了 Amazon AWS 作为他们的 CDN 提供商。
已识别的恶意模块
- Keenadu loader – 针对流行的在线商店(Amazon、Shein、Temu),投放未指明的负载;疑似在受害者不知情的情况下向购物车添加商品。
- Clicker loader – 注入 YouTube、Facebook、Google Digital Wellbeing 和 Android 系统启动器,以投放与游戏、食谱和新闻网站上的广告元素交互的负载。
- Google Chrome module – 劫持 Chrome 搜索请求并将其重定向到其他搜索引擎。如果受害者选择自动完成建议,劫持可能会失败。
- Nova clicker – 嵌入系统壁纸选择器;使用机器学习和 WebRTC 与广告元素交互。同一组件在 Doctor Web 最近的分析中被命名为 Phantom。
- Install monetization – 嵌入系统启动器;通过欺骗广告平台,使其误以为应用是通过合法的广告点击安装,从而实现应用安装变现。
- Google Play module – 获取 Google Ads 广告 ID,并以键
S_GA_ID3存储,可能供其他模块用于唯一标识受害者。
分发向量
- 系统应用嵌入 – 卡巴斯基观察到 Keenadu 加载器嵌入在多个系统应用中(例如面部识别服务、系统启动器),这些应用位于多款设备的固件中。这与 Android 恶意软件 Dwphon 的做法相似,后者被集成到负责 OTA 更新的系统应用中。
- 预装后门 – Keenadu 加载器的工件可以在
system_server进程已被另一种预装后门(与 BADBOX 类似)妥协的系统上运行。 - 特洛伊化的智能摄像头应用 – Keenadu 还通过在 Google Play 上的特洛伊化智能摄像头应用进行传播。
受影响的应用(由 杭州灯红科技有限公司 发布)
| 应用 | 包名 | 下载量 |
|---|---|---|
| Eoolii | com.taismart.global | 100,000+ |
| Ziicam | com.ziicam.aws | 100,000+ |
| Eyeplus – Your home in your eyes | com.closeli.eyeplus | 100,000+ |
这些应用已不再在 Google Play 上架,但开发者已将相同的套件发布到 Apple App Store。 尚不清楚 iOS 版本是否包含 Keenadu 功能。
基础设施链接
- BADBOX 在某些情况下充当 Keenadu 的分发向量。进一步分析发现 Triada 与 BADBOX 之间存在关联,表明两者的僵尸网络相互交互。
- 2025年3月,HUMAN 发现 BADBOX 与 Vo1d 之间的重叠,后者是一种针对非品牌 Android 电视盒的 Android 恶意软件。
为什么 Keenadu 令人担忧
- 系统范围执行 – 嵌入在
libandroid_runtime.so中,它在每个应用的上下文中运行,授予对所有数据的隐蔽访问,并使 Android 的应用沙箱失效。 - 权限绕过 – 它能够绕过操作系统的权限控制,成为后门,为攻击者提供对受感染设备的无限制访问和控制。
“Android 设备固件中预装后门的开发者一直以其高水平的专业技能脱颖而出,”卡巴斯基总结道。“Keenadu 仍然如此:其创建者对 Android 架构、应用启动过程以及操作系统的核心安全原理有着深刻的理解。”
“Keenadu 是一个大规模、复杂的恶意软件平台,为攻击者提供对受害者设备的无限制控制。虽然我们目前已显示该后门主要用于各种广告欺诈,但我们并不排除未来该恶意软件会效仿 Triada 的路径,开始窃取凭证。”
图片
保持更新
觉得这篇文章有趣吗?关注我们获取更多独家内容:
- Google News –
- Twitter –
- LinkedIn –