Un nou malware Android, denumit Keenadu, a fost identificat recent și se află integrat în firmware-ul unor dispozitive de la mai mulți producători. Acest virus face parte dintr-o campanie de tip supply chain attack și reprezintă o amenințare serioasă, deoarece rămâne prezent pe telefon chiar și după resetări și poate infecta toate aplicațiile care rulează pe dispozitiv.
Ce este Keenadu și de ce este periculos
Keenadu malware se ascunde în firmware-ul dispozitivelor, integrat în procesul de fabricare și distribuție. În loc să fie un virus care trăiește într-o aplicație, acesta devine parte a sistemului de operare, fiind dificil de eliminat. Se transmite printr-un proces de infectare în lanțul de aprovizionare, ajungând pe dispozitive atât preinstalat, cât și prin actualizări OTA care par sigure.
Malware-ul profită de procesul Zygote din Android, procesul responsabil pentru inițierea aplicațiilor. Dacă un fișier infectat este utilizat de Zygote, componenta malițioasă se copiază automat în fiecare aplicație, indiferent dacă este un browser, o aplicație de banking sau de shopping. Astfel, toate aplicațiile devin vulnerabile la acțiunile malware-ului.
Producătorii pot să nu fie conștienți de compromitere dacă firmware-ul a fost modificat în timpul procesului de fabricație. În plus, Keenadu poate fi trimis pe dispozitiv inclusiv prin actualizări de sistem, aparent legitime, ceea ce complică detectarea și prevenirea infectării.
Funcționarea și activitățile malware-ului
Keenadu acționează în mai multe etape, fiind un loader modular. La început, descarcă module (payloads) pentru a realiza diverse scopuri, cel mai des legate de fraudă publicitară. Atacatorii folosesc telefonul pentru a genera clickuri sau instalări frauduloase, în vederea obținerii de bani din reclame.
Un modul modifică rezultatele căutărilor în browser, redirecționând traficul către anumite pagini. Altele monitorizează ce cauți pe Google Chrome, expunând date sensibile și obiceiuri de navigare. În plus, certitudinea este că poate manipula site-uri de shopping, adăugând produse în coș sau modificând acțiunile pe platforme mari, fără ca utilizatorul să intervene.
Distributia malware-ului se realizează prin firmware, dar și prin aplicații de sistem sau versiuni modificate ale unor aplicații populare, inclusiv în store-urile oficiale. Acest lucru face ca breșele de securitate să fie și mai dificil de prevenit, mai ales dacă malware-ul reușește să îmbrace haine legitime.
Impactul și măsurile de protecție
Până în februarie, cercetătorii au identificat aproximativ 13.000 de dispozitive infectate, în special în Rusia, Japonia, Germania, Brazilia și Olanda. Deși România nu apare în top, riscul de răspândire rămâne, având în vedere faptul că atacurile în lanțul de aprovizionare pot afecta piețele locale prin importatori sau canale alternative.
Utilizatorii trebuie să fie atenți la semne neobișnuite: reclame inexplicabile, redirecționări în browser, baterie consumată excesiv sau trafic de date suspect. Abordarea erorilor și verificarea aplicațiilor de sistem recent actualizate sunt pași esențiali.
În cazul suspiciunii că telefonul conține firmware infectat, soluțiile sunt limitate: uneori singurul remediu eficient este înlocuirea completă a firmware-ului cu versiuni autentice, proces complicat pentru utilizatorii obișnuiți. Până la remediere, recomandarea este să nu utilizezi telefonul pentru activități sensibile și să reduci interacțiunea cu aplicațiile de sistem suspecte.
Pentru cazurile în care malware-ul poate fi eliminat prin dezinstalarea unei aplicații, acest pas poate fi suficient. Este esențial, însă, să descarci aplicații doar din surse oficiale și să fii sceptic față de ofertele prea bune pe modele obscure sau resigilate.
Cercetătorii avertizează asupra potențialului ca Keenadu să fie ascuns și în aplicații modificate sau de sistem, ceea ce crește riscul de infectare. În cazul în care suspectezi o compromitere, măsurile de bază rămân: controlul aplicațiilor, actualizările și verificarea comportamentului dispozitivului.