Una nueva puerta trasera de Android integrada en el firmware de un dispositivo puede recopilar datos de forma silenciosa y controlar de forma remota sus operaciones, según nuevos hallazgos de Kaspersky Lab.
Un proveedor ruso de ciberseguridad anunció que descubrió una puerta trasera llamada Keenadu en el firmware de dispositivos asociados con varias marcas, incluido Alldocube, y que la violación se produjo durante la etapa de construcción del firmware. Keenadu se detectó en el firmware Alldocube iPlay 50 mini Pro que data del 18 de agosto de 2023. En ambos casos, la puerta trasera está integrada en el firmware de la tableta y el archivo de firmware contiene una firma digital válida. Los nombres de los otros proveedores no fueron revelados.
«En algunos casos, el firmware comprometido se entregó a través de actualizaciones OTA», dijo el investigador de seguridad Dmitry Kalinin en un análisis exhaustivo publicado hoy. «Al iniciarse, se carga una copia de la puerta trasera en el espacio de direcciones de cada aplicación. El malware es un cargador de múltiples etapas, que le da al operador la capacidad de controlar de forma remota el dispositivo de la víctima sin restricciones».
Algunas de las cargas útiles obtenidas por Keenadu le permiten secuestrar los motores de búsqueda del navegador, monetizar nuevas instalaciones de aplicaciones e interactuar de forma encubierta con elementos publicitarios. Una de las cargas útiles se encontró integrada en múltiples aplicaciones independientes distribuidas a través de repositorios de terceros y mercados de aplicaciones oficiales como Google Play y Xiaomi GetApps.
Según datos de telemetría, 13.715 usuarios en todo el mundo han encontrado Keenadu o sus módulos, y la mayoría de los usuarios ubicados en Rusia, Japón, Alemania, Brasil y Países Bajos han sido atacados por este malware.
Kaspersky Lab reveló por primera vez Keenadu a finales de diciembre de 2025 y lo describió como una puerta trasera para libandroid_runtime.so, una biblioteca compartida crítica en el sistema operativo Android que se carga al inicio. Una vez activado en un dispositivo infectado, se inyecta en el proceso Zygote. Este comportamiento también se observa en otro malware de Android llamado Triada.
El malware se invoca mediante una llamada de función agregada a libandroid_runtime.so, que luego verifica si el malware se está ejecutando dentro de un servicio de Google o una aplicación del sistema que pertenece a un operador de telefonía móvil como Sprint o T-Mobile. Si es así, se cancela la ejecución. También tiene un interruptor de apagado que se cierra solo si encuentra un archivo con un nombre específico en el directorio del sistema.
«A continuación, el troyano comprueba si se está ejecutando dentro del proceso system_server», dijo Kalinin. «Este proceso tiene control en todo el sistema y privilegios máximos. Se inicia cuando se inicia el proceso Zygote».
Si esta verificación es verdadera, el malware comienza a crear instancias de la clase AKServer. De lo contrario, cree una instancia de la clase AKClient. El componente AKServer contiene la lógica central y el mecanismo de comando y control (C2), y AKClient se inyecta en cada aplicación iniciada en el dispositivo y actúa como un puente para interactuar con AKServer.
Esta arquitectura cliente-servidor permite a AKServer ejecutar cargas maliciosas personalizadas adaptadas a la aplicación específica de destino. AKServer también expuso otra interfaz que los módulos maliciosos descargados en el contexto de otras aplicaciones pueden usar para otorgar o revocar permisos a cualquier aplicación en el dispositivo, obtener la ubicación actual y filtrar información del dispositivo.
El componente AKServer está diseñado para realizar una serie de comprobaciones para eliminar el malware si el idioma de la interfaz es chino y el dispositivo se encuentra en una zona horaria china, o si Google Play Store o Google Play Services no están presentes en el dispositivo. Una vez que se cumplen los criterios necesarios, el troyano descifra la dirección C2 y envía los metadatos del dispositivo en forma cifrada al servidor.
En respuesta, el servidor devuelve un objeto JSON cifrado que contiene detalles sobre la carga útil. Sin embargo, en lo que parece ser un intento de complicar el análisis y evadir la detección, comprobaciones adicionales integradas en la puerta trasera impiden que el servidor C2 entregue la carga útil hasta 2,5 meses después del registro inicial.
«El servidor del atacante entrega información sobre la carga útil como una matriz de objetos», explicó Kaspersky. «Cada objeto contiene el enlace de descarga de la carga útil, su hash MD5, el nombre del paquete de la aplicación de destino, el nombre del proceso de destino y otros metadatos. Es de destacar que los atacantes eligieron Amazon AWS como su proveedor de CDN».
Algunos de los módulos maliciosos identificados se enumeran a continuación.
El cargador Keenadu apunta a tiendas en línea populares como Amazon, Shein y Temu y entrega cargas útiles no especificadas. Sin embargo, se sospecha que permite a las víctimas agregar artículos al carrito de compras de la aplicación sin su conocimiento. cargador de clic. Se inserta en YouTube, Facebook, Google Digital Wellbeing y el iniciador del sistema Android para ofrecer una carga útil que puede interactuar con elementos publicitarios en sitios web de juegos, recetas y noticias. Módulo de Google Chrome. Se dirige a los navegadores Chrome para secuestrar solicitudes de búsqueda y redirigirlas a otro motor de búsqueda. Sin embargo, tenga en cuenta que el intento de secuestro puede fallar si la víctima selecciona una opción de las sugerencias de autocompletar según las palabras clave escritas en la barra de direcciones. Clicker Nova. Está integrado en el selector de fondos de pantalla del sistema y utiliza aprendizaje automático y WebRTC para interactuar con elementos publicitarios. El mismo componente recibió el nombre en código Phantom en un análisis publicado por Doctor Web el mes pasado. Instalar monetización. Integrado en los iniciadores del sistema, monetiza las instalaciones de aplicaciones engañando a las plataformas publicitarias haciéndoles creer que la aplicación se instaló desde un anuncio publicitario legítimo. Módulo de Google Play. Obtiene el ID de publicidad de Google Ads y lo almacena en la clave «S_GA_ID3», que pueden utilizar otros módulos para identificar de forma única a la víctima.
Kaspersky dijo que también ha identificado otros vectores de distribución de Keenadu, incluida la incorporación del cargador Keenadu en varias aplicaciones del sistema, como servicios de reconocimiento facial y lanzadores del sistema, y la inclusión del cargador Keenadu en el firmware de algunos dispositivos. Esta táctica se observó en otro malware de Android conocido como Dwphon, que se integró en una aplicación del sistema responsable de las actualizaciones OTA.
El segundo método involucra el artefacto del cargador Keenadu, que está diseñado para operar dentro de sistemas donde el proceso system_server ya ha sido comprometido por otra puerta trasera preinstalada que comparte similitudes con BADBOX. Eso no es todo. También se ha descubierto que Keenadu se propaga a través de aplicaciones troyanizadas de cámaras inteligentes en Google Play.
El nombre de la aplicación publicada por el desarrollador: Hangzhou Denghong Technology Co., Ltd. es:
Eoolii (com.taismart.global) – Más de 100.000 descargas Ziicam (com.ziicam.aws) – Más de 100.000 descargas Eyeplus – El hogar en tus ojos (com.closeli.eyeplus) – Más de 100.000 descargas
Estas aplicaciones ya no están disponibles para descargar desde Google Play, pero el desarrollador también publicó el mismo conjunto de aplicaciones en la App Store de Apple. No está claro si la versión de iOS incluye la funcionalidad Keenadu. Hacker News se comunicó con Kaspersky para solicitar comentarios y actualizará el artículo si recibimos respuesta. Dicho esto, se cree que Keenadu está diseñado principalmente para tabletas Android.
Un análisis más detallado también reveló conexiones de infraestructura entre Triada y BADBOX, ya que BADBOX actúa como un vector de distribución para Keenadu en algunos casos, lo que indica que estas botnets están interactuando entre sí. En marzo de 2025, HUMAN anunció que había identificado una superposición entre BADBOX y Vo1d, un malware de Android dirigido a decodificadores de TV sin marca basados en Android.
El descubrimiento de Keenadu es preocupante por dos razones principales.
Cuando el malware está incrustado en libandroid_runtime.so, se ejecuta en el contexto de todas las aplicaciones del dispositivo. Esto permite el acceso secreto a todos los datos y desactiva la zona de pruebas de las aplicaciones de Android. Este malware tiene la capacidad de eludir los permisos utilizados para controlar los permisos de las aplicaciones dentro del sistema operativo, convirtiéndolo en una puerta trasera que permite a los atacantes acceso y control ilimitados sobre un dispositivo comprometido.
«Los desarrolladores de puertas traseras preinstaladas en el firmware de los dispositivos Android siempre se han distinguido por su alto nivel de experiencia», concluyó Kaspersky. «Esto también se aplica a Keenadu. Los autores del malware tienen un profundo conocimiento de la arquitectura de Android, el proceso de inicio de la aplicación y los principios básicos de seguridad del sistema operativo».
«Keenadu es una plataforma de malware grande y compleja que proporciona a los atacantes control ilimitado sobre los dispositivos de las víctimas. Actualmente, nuestra evidencia indica que esta puerta trasera se utiliza principalmente para varios tipos de fraude publicitario, pero no excluimos la posibilidad de que el malware pueda seguir los pasos de Triada y comenzar a robar credenciales en el futuro».
Source link
