De acordo com o fornecedor de segurança Kaspersky, ao rastrear o Trojan Triada, que anteriormente foi encontrado pré-instalado em dispositivos Android de baixo preço, descobriu ainda um backdoor no nível do firmware chamado “Keenadu” que infectou um grande número de dispositivos em todo o mundo e foi projetado para ser executado profundamente na camada inferior do sistema Android sem o conhecimento do usuário.

Kaspersky disse que Keenadu aparece no firmware de muitas marcas (a maioria sem nome) de tablets Android, e seu método de implantação é semelhante ao Triada: durante a fase de construção binária do firmware, a biblioteca estática maliciosa é silenciosamente vinculada à biblioteca do sistema libandroid_runtime.so, completando assim o "pré-incorporado" antes do dispositivo sair da fábrica. Depois que o dispositivo for iniciado, a biblioteca maliciosa será injetada no processo Zygote; como o Zygote é o processo "raiz" chave no sistema Android para incubar os processos subsequentes do sistema e do aplicativo, o backdoor pode ser executado junto com vários aplicativos iniciados pelo usuário ou pelo sistema, alcançando uma persistência mais profunda e ampla.

O backdoor adota uma arquitetura de vários estágios, permitindo ao operador controlar remotamente o dispositivo infectado com controle “quase irrestrito” e pode entregar diferentes cargas maliciosas para executar múltiplas tarefas. Entre as capacidades observadas, a carga útil pode ser adulterada pelos motores de busca do navegador, monetizar através da promoção de novas instalações de aplicativos, conduzir interações publicitárias mais secretas, etc. Ao mesmo tempo, os pesquisadores também descobriram que seus rastros apareceram em aplicativos distribuídos através do Google Play, Xiaomi GetApps e armazéns de aplicativos de terceiros.

No que diz respeito à fonte, a Kaspersky afirmou que atualmente não consegue determinar o ponto de lançamento inicial. O cenário mais provável é que os invasores tenham realizado invasões em etapas importantes da cadeia de fornecimento de vários tablets Android, permitindo que a biblioteca maliciosa fosse gravada no firmware antes que os produtos chegassem ao mercado. A investigação também rastreou pistas até o fabricante de tablets Alldocube: o fabricante divulgaria publicamente arquivos de firmware para análise de segurança, e a Kaspersky usou essas informações para conduzir análises de correlação adicionais.

De acordo com dados de telemetria da Kaspersky, um total de 13.715 usuários em todo o mundo são afetados pelo Keenadu e um de seus módulos maliciosos. Os países com infecções concentradas incluem Rússia, Japão, Alemanha, Brasil e Holanda. A Kaspersky emitiu atualmente um aviso antecipado aos fabricantes relevantes e recomendou que os usuários instalassem atualizações de segurança do Android o mais rápido possível após os fabricantes enviarem patches; o incidente destacou mais uma vez que os invasores estão aproveitando com mais frequência a complexidade da arquitetura central e dos mecanismos de segurança do Android para mover recursos maliciosos para níveis de sistema que são mais difíceis de detectar e remover.