Badacze z firmy Kaspersky przeanalizowali niedawno odkryte złośliwe oprogramowanie dla systemu Android, które umożliwia operatorom zdalne sterowanie zainfekowanymi urządzeniami.
Backdoor, nazwany Keenadu, został znaleziony w oprogramowaniu układowym urządzeń różnych marek z systemem Android, z przewagą tabletów.
W niektórych przypadkach backdoor wydaje się wstrzyknięty do systemu układowego podczas jego tworzenia, jest również dostarczany na urządzenia za pośrednictwem aktualizacji systemu układowego OTA.
Złośliwe oprogramowanie daje operatorom pełną kontrolę nad zainfekowanym urządzeniem, ale wydaje się, iż jest wykorzystywane głównie do oszustw reklamowych. Badacze Kaspersky twierdzą, iż Keenadu zaprojektowane zostało do kontrolowania wyszukiwarek w przeglądarkach, monetyzacji, w tym instalacji nowych aplikacji, i klikania reklam.
W wielu przypadkach złośliwe oprogramowanie było preinstalowane na urządzeniach, ale badacze zaobserwowali również jego dystrybucję za pośrednictwem różnych sklepów z aplikacjami (w tym Google Play i Xiaomi GetApps) podszywającymi się pod aplikacje inteligentnego aparatu. Fałszywe aplikacje zidentyfikowane przez Kaspersky w Google Play zostały pobrane ponad 300 000 razy, zanim je usunięto.
Infekcje złośliwym oprogramowaniem Keenadu wykryto na około 13 000 urządzeń, głównie w Rosji, Japonii, Niemczech, Brazylii i Holandii.
„Kopia backdoora jest ładowana do przestrzeni adresowej każdej aplikacji po jej uruchomieniu” – wyjaśniają specjaliści Kaspersky. „W niektórych wersjach systemu układowego Keenadu był zintegrowany bezpośrednio z krytycznymi narzędziami systemowymi, w tym z usługą rozpoznawania twarzy, aplikacją uruchamiającą i innymi”.
Badacze odkryli powiązania między Keenadu a kilkoma ogromnymi botnetami, w dużej mierze opartymi na tanich urządzeniach z Androidem, w tym takimi jak Triada, Vo1d i BadBox. Podobnie jak w przypadku innych botnetów, dowody wskazują na chińskie pochodzenie Keenadu.
„Kilka największych botnetów Androida kooperuje ze sobą” – poinformowali badacze. „Obecnie potwierdziliśmy powiązania między Triadą, Vo1d i BadBox, a także połączenie między Keenadu i BadBox”.
Raport dostępny jest tutaj.
