Sigurnosni istraživači iz Kaspersky otkrili su novu firmware-level prijetnju nazvanu Keenadu, koja je već zarazila tisuće Android uređaja diljem svijeta. Malware je identificiran tijekom analize poznatog trojanca Triada, a pokazalo se da Keenadu koristi sličan, ali jednako zabrinjavajuć pristup – infiltraciju najdubljih slojeva operativnog sustava, bez znanja korisnika.
Prema izvješću, Keenadu je pronađen na Android tabletima koje prodaje više, uglavnom neimenovanih brendova. Infekcija se događa tijekom faze izgradnje firmwarea, kada se zlonamjerna statička biblioteka potajno povezuje s ključnom sistemskom bibliotekom libandroid_runtime.so. Drugim riječima, kompromitacija se događa prije nego što uređaj uopće dođe do krajnjeg korisnika.
Nakon pokretanja uređaja, zlonamjerna komponenta ubacuje se u Zygote proces – temeljni Android proces iz kojeg se pokreću sve aplikacije i sistemske usluge. Budući da Zygote služi kao svojevrsni “korijen” cijelog sustava, Keenadu na taj način postaje prisutan u praktički svakoj aplikaciji koja se izvršava. Factory reset u takvom scenariju ne znači mnogo, jer je problem ugrađen dublje od korisničkih podataka.
Backdoor je dizajniran u više faza i omogućuje napadačima gotovo neograničenu udaljenu kontrolu nad zaraženim uređajima. Zlonamjerni moduli mogu manipulirati rezultatima pretraživanja u preglednicima, monetizirati instalacije aplikacija, obavljati skrivene interakcije s oglasima i izvršavati druge nepoželjne radnje. Tragovi Keenadua pronađeni su i u aplikacijama distribuiranim putem Google Playa, Xiaomi GetAppsa te raznih third-party repozitorija.
Istraživači nisu uspjeli točno utvrditi podrijetlo malwarea, no najizgledniji scenarij uključuje kompromitaciju opskrbnog lanca tijekom ključne faze proizvodnje firmwarea za više modela tableta. Zlonamjerna biblioteka tako je integrirana prije izlaska uređaja na tržište.
Kaspersky je povezao dio infekcija s proizvođačem Alldocube, koji javno objavljuje arhive firmwarea radi sigurnosne provjere. Prema dostupnim telemetrijskim podacima, najmanje 13.715 korisnika globalno bilo je pogođeno Keenaduom i jednim od njegovih modula, a najveće koncentracije zabilježene su u Rusiji, Japanu, Njemačkoj, Brazilu i Nizozemskoj.
Nakon što su proizvođači obaviješteni, korisnicima se preporučuje instalacija sigurnosnih ažuriranja čim postanu dostupna. Keenadu pokazuje koliko su napadi na opskrbni lanac postali sofisticirani – kada se malware smjesti u firmware, granica između “sustava” i “napadača” postaje opasno tanka.
