- Το κακόβουλο λογισμικό Keenadu εντοπίστηκε σε firmware συσκευών Android και σε εφαρμογές του Google Play.
- Παρέχει στους επιτιθέμενους πλήρη έλεγχο της συσκευής, υποκλέπτοντας δεδομένα και εγκαθιστώντας άλλες εφαρμογές.
- Η αφαίρεση του είναι δύσκολη, ειδικά όταν είναι ενσωματωμένο στο λογισμικό συστήματος (firmware).
Το κακόβουλο λογισμικό Keenadu παρέχει στους επιτιθέμενους τον πλήρη έλεγχο των συσκευών Android. Η αφαίρεσή του αποδεικνύεται δύσκολη, ανάλογα με τον τρόπο μόλυνσης.
Ερευνητές ασφαλείας της Kaspersky ανακάλυψαν ένα νέο backdoor malware με την ονομασία Keenadu, το οποίο είναι εν μέρει ενσωματωμένο απευθείας στο firmware των συσκευών Android.
Ωστόσο, μέρος του κακόβουλου λογισμικού διανεμήθηκε επίσης μέσω εφαρμογών από καταστήματα όπως το Google Play Store. Μολύνσεις εντοπίστηκαν σε πολλές χώρες, κυρίως στη Ρωσία, την Ιαπωνία, τη Γερμανία, τη Βραζιλία και την Ολλανδία.
Σύμφωνα με ανάρτηση των ερευνητών, το Keenadu παρουσιάζει ορισμένες ομοιότητες με το γνωστό εδώ και χρόνια malware Triada.
Το Triada αποτελεί μέρος της εκστρατείας Badbox και είναι προεγκατεστημένο από το εργοστάσιο σε ορισμένες ιδιαίτερα φθηνές συσκευές Android. Από τα τέλη του 2024, το BSI εκτρέπει μεγάλο μέρος της κίνησης του Badbox από τη Γερμανία σε ένα sinkhole.
Όπως και το Triada, έτσι και το Keenadu, σύμφωνα με την Kaspersky, διεισδύει στη διεργασία Zygote του Android, δηλαδή στη διεργασία που ξεκινά πρώτη κατά την εκκίνηση του λειτουργικού συστήματος.
Από εκεί, το malware φέρεται να εισέρχεται στον χώρο διευθύνσεων κάθε εφαρμογής που εκτελείται στη στοχευμένη συσκευή, επιτρέποντας έτσι εκτεταμένες κακόβουλες δραστηριότητες.
Η διεργασία Zygote στο Android είναι υπεύθυνη για την εκκίνηση όλων των εφαρμογών. Εάν μολυνθεί, ο ιός αποκτά πρόσβαση σε κάθε εφαρμογή που ανοίγει ο χρήστης.
Διάδοση μέσω firmware και εφαρμογών
Το Keenadu εισάγεται με διάφορους τρόπους, σύμφωνα με τους ερευνητές. Σε ορισμένες περιπτώσεις που εξετάστηκαν, το malware έφτασε στις συσκευές Android μέσω συγκεκριμένων εκδόσεων firmware.
Ένα παράδειγμα είναι τα tablets του κατασκευαστή Alldocube. Ο κακόβουλος κώδικας ήταν ενσωματωμένος απευθείας στη βιβλιοθήκη συστήματος libandroid_runtime.so.
Σε άλλες περιπτώσεις, το malware ήταν ενσωματωμένο σε εφαρμογές συστήματος ή άλλες εφαρμογές που διατίθεντο μέσω του Google Play ή του Xiaomi Getapps.
Ως παραδείγματα, οι ερευνητές αναφέρουν τρεις εφαρμογές για έξυπνες κάμερες (Eoolii, Ziicam και Eyeplus), οι οποίες συγκέντρωσαν συνολικά πάνω από 300.000 λήψεις στο Google Play.
Όπως αναφέρει το Bleeping Computer επικαλούμενο δηλώσεις των ερευνητών της Kaspersky, το malware Keenadu παρέχει στους επιτιθέμενους “απεριόριστο έλεγχο” στις μολυσμένες συσκευές, ανάλογα με τη διαδρομή μόλυνσης.
“Μπορεί να μολύνει οποιαδήποτε εφαρμογή είναι εγκατεστημένη στη συσκευή, να εγκαταστήσει αυθαίρετες εφαρμογές από αρχεία APK και να τους παραχωρήσει όλες τις διαθέσιμες άδειες”, αναφέρουν χαρακτηριστικά οι ερευνητές.
Αυτό σημαίνει ότι ουσιαστικά όλα τα δεδομένα που είναι διαθέσιμα στη συσκευή βρίσκονται σε κίνδυνο. Τόσο τα αρχεία πολυμέσων όσο και τα τραπεζικά δεδομένα, τα μηνύματα και τα δεδομένα τοποθεσίας θα μπορούσαν να παραβιαστούν με το Keenadu.
“Το malware παρακολουθεί ακόμη και τις αναζητήσεις που εισάγει ο χρήστης σε λειτουργία Incognito στο πρόγραμμα περιήγησης Chrome”, εξήγησαν περαιτέρω οι ερευνητές.
Η λειτουργία Incognito (Ανώνυμη Περιήγηση) δεν σας προστατεύει εάν η ίδια η συσκευή ή το λειτουργικό σύστημα έχει μολυνθεί από κακόβουλο λογισμικό όπως το Keenadu.
Το malware αποφεύγει τις κινεζικές συσκευές
Οι ερευνητές της Kaspersky τονίζουν ότι το malware Keenadu παραμένει ανενεργό, εφόσον οι ρυθμίσεις γλώσσας ή η ζώνη ώρας μιας μολυσμένης συσκευής υποδεικνύουν έναν Κινέζο χρήστη.
Αυτό μπορεί να αποτελεί ένδειξη ότι πίσω από το Keenadu βρίσκονται φορείς από την Κίνα. Παρόμοια συμπεριφορά έχει παρατηρηθεί και σε κακόβουλο λογισμικό από Ρώσους προγραμματιστές στο παρελθόν.
Η αφαίρεση του κακόβουλου λογισμικού είναι δυνατή, σύμφωνα με την Kaspersky, μέσω της απεγκατάστασης και αντικατάστασης της εκάστοτε μολυσμένης εφαρμογής.
Ωστόσο, εάν επηρεάζεται άμεσα το firmware, η αφαίρεση δεν είναι τόσο απλή. Σε αυτές τις περιπτώσεις, οι χρήστες εξαρτώνται από ένα καθαρό firmware.
Αυτό πρέπει να προέλθει είτε απευθείας από τον κατασκευαστή είτε, λαμβάνοντας υπόψη τους σχετικούς κινδύνους, από κάποιον τρίτο πάροχο (custom ROM).
| Στοιχείο Ανάλυσης | Λεπτομέρειες |
| Σύνολο Μολύνσεων | 13.715 (Παγκοσμίως) |
| Κύριες Χώρες | Ρωσία, Ιαπωνία, Γερμανία, Βραζιλία |
| Μέθοδος Μόλυνσης | Firmware, Google Play Apps |
| Στόχος | Τραπεζικά δεδομένα, SMS, Τοποθεσία |
Παγκοσμίως, οι ερευνητές της Kaspersky εντόπισαν μέχρι στιγμής 13.715 μολύνσεις Keenadu. Ωστόσο, οι ερευνητές δεν αναλύουν λεπτομερώς πώς αυτές κατανέμονται στις επιμέρους χώρες.
Οι επηρεαζόμενες εφαρμογές από το Play Store έχουν ήδη αφαιρεθεί, σύμφωνα με εκπρόσωπο της Google.
Επιπλέον, το εργαλείο ασφαλείας Google Play Protect, που είναι ενεργοποιημένο από το εργοστάσιο, φέρεται να είναι πλέον σε θέση να αναγνωρίζει γνωστές εκδόσεις του malware και να προειδοποιεί τους χρήστες.
Οι εφαρμογές που μετέφεραν τον ιό συγκέντρωσαν πάνω από 300.000 λήψεις, αποδεικνύοντας πόσο ευάλωτα μπορεί να είναι ακόμη και τα επίσημα καταστήματα εφαρμογών.
Γιατί το firmware malware είναι τόσο επικίνδυνο;
Η περίπτωση του Keenadu αναδεικνύει έναν από τους μεγαλύτερους εφιάλτες στην ασφάλεια των κινητών: τη μόλυνση σε επίπεδο Supply Chain (αλυσίδας εφοδιασμού).
Όταν το κακόβουλο λογισμικό είναι εγκατεστημένο στο firmware μιας συσκευής πριν καν αυτή φτάσει στα χέρια του καταναλωτή, οι παραδοσιακές μέθοδοι προστασίας καθίστανται σχεδόν άχρηστες.
Η επαναφορά εργοστασιακών ρυθμίσεων (factory reset), που συνήθως αποτελεί τη λύση ανάγκης για την αφαίρεση ιών, σε αυτή την περίπτωση δεν λειτουργεί.
Το κακόβουλο λογισμικό είναι μέρος του “DNA” του τηλεφώνου και θα επανεγκατασταθεί αυτόματα αμέσως μετά την επανεκκίνηση της συσκευής, κάνοντας την απειλή μόνιμη (persistent threat).
Αυτό το πρόβλημα εντοπίζεται συχνότερα σε οικονομικές συσκευές (budget phones) από λιγότερο γνωστούς κατασκευαστές, οι οποίοι συχνά αναθέτουν την ανάπτυξη του λογισμικού τους σε τρίτους χωρίς αυστηρούς ελέγχους ασφαλείας.
Αποφύγετε την αγορά συσκευών από άγνωστες μάρκες (no-name) με εξαιρετικά χαμηλές τιμές, καθώς συχνά αποτελούν στόχο προεγκατεστημένου malware για τη μείωση του κόστους κατασκευής.
Πρακτικά βήματα προστασίας για τους χρήστες
Παρόλο που η Google έχει λάβει μέτρα, η απειλή παραμένει ενεργή, ειδικά για όσους κατέχουν ήδη μολυσμένες συσκευές. Για να προστατευτείτε, ακολουθήστε τα παρακάτω βήματα:
Πρώτον, ελέγχετε πάντα τις εφαρμογές που έχετε εγκαταστήσει. Εάν δείτε εφαρμογές όπως οι Eoolii, Ziicam ή Eyeplus, απεγκαταστήστε τις άμεσα και αλλάξτε όλους τους κωδικούς πρόσβασης των λογαριασμών σας.
Δεύτερον, διατηρείτε ενεργό το Google Play Protect. Είναι η πρώτη γραμμή άμυνας και ενημερώνεται συνεχώς για νέες απειλές χωρίς να απαιτείται ενημέρωση ολόκληρου του συστήματος.
Τρίτον, εξετάστε τη χρήση αξιόπιστου λογισμικού Antivirus για Android. Εργαλεία από εταιρείες όπως η Kaspersky, η Bitdefender ή η ESET μπορούν να εντοπίσουν δραστηριότητες που ίσως διαφύγουν από τους ενσωματωμένους ελέγχους της Google.
Το μέλλον των επιθέσεων σε Android
Η εμφάνιση του Keenadu και η ομοιότητα του με το Triada δείχνουν ότι οι εγκληματίες του κυβερνοχώρου επενδύουν όλο και περισσότερο σε σύνθετες επιθέσεις που στοχεύουν τη δομή του λειτουργικού συστήματος.
Η ικανότητα του malware να παρακάμπτει τους ελέγχους του Google Play κρύβοντας τον κώδικά του ή κατεβάζοντάς τον μετά την εγκατάσταση (dropper method) αποτελεί μια συνεχή πρόκληση.
Οι χρήστες πρέπει να είναι εξαιρετικά καχύποπτοι με εφαρμογές που ζητούν υπερβολικές άδειες (π.χ. μια εφαρμογή φακού που ζητά πρόσβαση στις επαφές) και να αποφεύγουν την εγκατάσταση εφαρμογών από άγνωστες πηγές (sideloading).
Η ασφάλεια στα κινητά δεν είναι πλέον δεδομένη, και η επιλογή αξιόπιστου κατασκευαστή είναι εξίσου σημαντική με τα τεχνικά χαρακτηριστικά της συσκευής.
