Keenadu: malware preinstalat pe tablete Android, greu de eliminat, descoperit de Kaspersky

Kaspersky a identificat backdoor-ul „Keenadu” în firmware-ul unor tablete, inclusiv Alldocube iPlay 50 mini Pro, iar infecția pare legată de un compromis pe lanțul de aprovizionare.

Ce este Keenadu și de ce contează

Un nou caz de „malware din fabrică” (sau din lanțul de distribuție) ridică din nou întrebarea incomodă: cât de sigur e un dispozitiv Android ieftin, cumpărat de la un brand puțin cunoscut?

Kaspersky spune că a descoperit Keenadu, un backdoor Android care a fost găsit preinstalat pe mai multe modele de tablete. În Europa, compania a raportat peste 13.000 de dispozitive detectate, cu cazuri semnalate și în Japonia, Brazilia și alte regiuni.

Particularitatea gravă: în unele situații, Keenadu apare în firmware (adică în componentele de sistem ale tabletei), semn că infecția a fost introdusă înainte ca dispozitivul să ajungă la utilizator — un tipar asociat atacurilor asupra lanțului de aprovizionare.

Cum ajunge un backdoor în firmware

Analiza tehnică publicată de Securelist (Kaspersky) descrie un scenariu în care o bibliotecă statică malițioasă este legată în libandroid_runtime.so, iar apoi compromite procesul Zygote (practic, un punct central din care pornesc aplicațiile Android). În unele cazuri, firmware-ul malițios ar fi ajuns și prin actualizări OTA.

Relaționat

Apple lansează o actualizare de securitate pentru iOS 18 împotriva exploitului DarkSword

HP aduce TPM Guard pe PC-uri și securitate cuantică pe noile LaserJet

Samsung Knox obține certificarea Common Criteria și pentru monitoare

Consecința e simplă și dură: dacă un backdoor rulează în contextul fiecărei aplicații, ideea de „izolare” între aplicații (un principiu de bază în securitatea Android) devine aproape inutilă.

Ce poate face Keenadu pe o tabletă infectată

Kaspersky și publicațiile care au relatat cazul descriu un set de capabilități care depășește cu mult un „adware” obișnuit:

• poate interveni asupra aplicațiilor rulate pe dispozitiv și poate instala aplicații din fișiere APK, acordându-le permisiuni;
• poate compromite date sensibile (mesaje, media, credențiale, locație etc.), iar în unele scenarii monitorizează inclusiv căutări introduse în Chrome (inclusiv în mod incognito, potrivit relatărilor);
• a fost observat și în aplicații „de sistem”, inclusiv într-o aplicație legată de deblocarea facială, ceea ce complică și mai mult remedierea.

În investigația curentă, Kaspersky spune că a văzut preponderent comportament de „ad fraud” (dispozitivele fiind folosite ca boți pentru click-uri), însă arhitectura backdoor-ului ar permite control mult mai amplu asupra tabletei.

De ce e greu de eliminat

Problema cu malware-ul integrat în partiția de sistem e că, pe versiunile moderne de Android, acea partiție e montată read-only. Securelist avertizează că eliminarea manuală a bibliotecii infectate ar putea împiedica dispozitivul să mai pornească, ceea ce înseamnă că „curățarea” nu e realistă prin metode standard.

Ce poți face dacă ai o tabletă suspectă

În zona de mitigare, recomandările publice merg în direcții practice, fără promisiuni ușoare:

1. Verifică actualizările de sistem/firmware și aplică-le (există posibilitatea să apară firmware „curat”).
2. Dacă nu există o actualizare curată, rescrierea manuală de firmware poate fi o opțiune, dar vine cu risc real de „brick” (dispozitiv nefuncțional).
3. Dacă tableta e confirmată ca infectată și nu există remediere, recomandarea dură (dar logică) rămâne: evită folosirea ei pentru conturi, plăți, parole și date personale până la înlocuire.

Ca regulă generală, cazul Keenadu întărește un lucru pe care îl ignorăm când „prețul bun” e prea tentant: un dispozitiv ieftin poate costa ulterior prin riscuri, timp pierdut și date compromise.