Заражение прошивки Android: бэкдор Keenadu угрожает данным миллионов пользователей бюджетных устройств

Согласно анализу экспертов, Keenadu представляет собой инфекцию, внедрённую в библиотеку libandroid_runtime.so. Поскольку все приложения Android для своей работы полагаются на эту системную библиотеку, копия бэкдора автоматически попадает в адресное пространство каждого установленного на заражённом устройстве приложения. Механизм внедрения ещё более коварен: код Keenadu находится в статической библиотеке libVndxUtils.a и маскируется под легитимный код от MediaTek. Ключевой вывод, к которому пришли исследователи, заключается в том, что вредонос был интегрирован]в прошивку на этапе её сборки, что указывает на компрометацию цепочки поставок, а не на последующее заражение через скомпрометированный сервер обновлений (OTA). Такой подход обеспечивает бэкдору высочайший уровень привилегий и устойчивости.

Основная функция Keenadu - это загрузчик для модулей вредоносного ПО второго этапа. Конкретные цели атаки зависят от модулей, которые злоумышленник решает загрузить. Среди примеров - магазины приложений и розничные онлайн-платформы, такие как Shein, Temu и Amazon. Такие приложения, как YouTube, Facebook* и системный Digital Wellbeing, становятся мишенью для так называемых "кликер"-модулей. Эти модули скрытно обращаются к веб-сайтам в фоновом режиме, генерируя доход по модели оплаты за клик (PPC), что является классическим мошенничеством с рекламой. Дополнительный кликер-модуль внедрён прямо в системный лаунчер (com.android.launcher3), что, по-видимому, предназначено для монетизации каждой установки. Отдельный модуль нацелен на браузер Google Chrome, что открывает возможности для перехвата трафика и учётных данных.

Инфицированные устройства, обнаруженные Sophos, неизменно содержали два файла APK на системном уровне: PriLauncher.apk и PriLauncher3QuickStep.apk. Эти файлы находились в защищённых системных директориях. QuickStep является лаунчером по умолчанию в проекте Android Open Source Project (AOSP). Тот факт, что эти APK-файлы детектируются как вредоносные, указывает на то, что данные системные компоненты были троянизированы для запуска Keenadu на определённых устройствах. При этом важно отметить, что агент защиты Sophos Intercept-X для Android не блокирует легитимные версии QuickStep, что делает данную маскировку особенно эффективной.

По данным телеметрии Sophos X-Intercept на 4 марта, было выявлено более 500 уникальных скомпрометированных Android-устройств почти 50 различных моделей. Речь идёт преимущественно о недорогих моделях от производителей, включая Allview, BLU, Dcode, DOOGEE, Gigaset, Gionee, Lava и Ulefone. Примечательно, что в этом списке не оказалось устройств Alldocube, хотя ранее сообщалось о их заражении. Выявленные инфицированные устройства географически распределены по 40 странам мира, что свидетельствует о масштабности инцидента.

Для организаций, разрешающих сотрудникам доступ к корпоративным ресурсам с личных устройств (BYOD), эта угроза создаёт повышенные риски. Хотя непосредственная утечка данных происходит с самого устройства, злоумышленники могут получить доступ к корпоративной сети через экспонированные учётные данные, сохранённые в приложениях на заражённом смартфоне. Это превращает личный гаджет сотрудника в потенциальный троянский конь внутри периметра компании.

Аналитики SophosLabs рекомендуют пользователям устанавливать обновлённые версии прошивки, если производитель их выпустил. До получения обновления организациям следует рассмотреть возможность ограничения доступа к корпоративной сети для моделей из списка затронутых. Для противодействия данной угрозе в решениях Sophos задействована сигнатура Andr/Bckdr-SBS. Учитывая, что бэкдор интегрирован в прошивку, стандартные меры вроде сброса к заводским настройкам могут оказаться неэффективными, так как вредоносный код будет восстановлен вместе с системным разделом. Данный инцидент служит суровым напоминанием о критической важности контроля целостности цепочки поставок в производстве IoT-устройств и необходимости для бизнеса пересмотра политик безопасности в эпоху повсеместного использования личных устройств для работы.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

IPv4

• 110.34.191.81
• 110.34.191.82
• 67.198.232.187
• 67.198.232.4

Domains

• aifacecloud.com
• dllpgd.click
• fbgraph.com
• fbsimg.com
• gbugreport.com
• glogstatic.com
• gmsstatic.com
• goaimb.com
• gsonx.com
• gstatic2.com
• gvvt1.com
• iboot.site
• keepgo123.com
• launcher.szprize.cn
• newsroomlabss.com
• playstations.click
• proczone.com
• sliidee.com
• uscelluliar.com
• ytimg2.com

MD5

• 11eaf02f41b9c93e9b3189aa39059419
• 3c03168c98ad6111c3aa0a960f8b7eea
• b80b39ed95d54c8c1bf12e35f92e23cc
• cb0d514d86ddfaf4345d25cef064863b
• cd619b4e1e793f96eca877616a741bc1

SHA1

• 7db58b72a3493a86e847c3685eca74c690d50b55
• 7eb32a90d556bb9954707014843a67f7039ea7f1
• b73c94e56932f607108ec1efb74004c763a9e42b
• c33b025bac789d3742278f784377fc36f83fd1ff
• dcf2b51bfc43494bb27f5da26f3f706ca878d17e

SHA256

• 34a0236b5c7b47577be4501e2c18908916ef9ec22032a6ea41b0ecceaf4e8d8a
• 52db1f284a0dccbb750314cf765131a17a8284a2aeea04701a2b71f35fb9d9ee
• ab6d744dccf4c6266474df4b8aa3be6ae5663dbee39c579a552a4cfa1c1d12fd
• cdf1d41d732ba882184060933bec2c1f4b8eefc081c06471132a690f2205da31
• da1c7f53add0abaa8a49b773e5cea9c9171799f644ec24e366aaf7ce29962a11