Nach Angaben des Sicherheitsanbieters Kaspersky entdeckte der Sicherheitsanbieter Kaspersky bei der Verfolgung des Trojaners Triada, der zuvor auf preisgünstigen Android-Geräten vorinstalliert war, außerdem eine Hintertür auf Firmware-Ebene namens „Keenadu“, die eine große Anzahl von Geräten weltweit infiziert hat und darauf ausgelegt ist, ohne Wissen des Benutzers tief in die unterste Schicht des Android-Systems einzudringen.

Kaspersky sagte, dass Keenadu in der Firmware vieler (meist unbenannter) Marken von Android-Tablets vorkommt und dass seine Implantationsmethode der von Triada ähnelt: Während der binären Konstruktionsphase der Firmware wird die bösartige statische Bibliothek stillschweigend mit der Systembibliothek libandroid_runtime.so verknüpft, wodurch die „Voreinbettung“ abgeschlossen wird, bevor das Gerät das Werk verlässt. Nachdem das Gerät gestartet wurde, wird die schädliche Bibliothek in den Zygote-Prozess eingeschleust; Da Zygote der wichtigste „Root“-Prozess im Android-System ist, um nachfolgende System- und Anwendungsprozesse zu initiieren, kann die Hintertür zusammen mit verschiedenen vom Benutzer oder vom System gestarteten Anwendungen ausgeführt werden, wodurch eine tiefere und umfassendere Persistenz erreicht wird.

Die Hintertür verfügt über eine mehrstufige Architektur, die es dem Bediener ermöglicht, das infizierte Gerät mit „nahezu uneingeschränkter“ Kontrolle aus der Ferne zu steuern und verschiedene bösartige Nutzlasten bereitzustellen, um mehrere Aufgaben auszuführen. Zu den beobachteten Fähigkeiten gehört die Manipulation der Nutzlast durch Browser-Suchmaschinen, die Monetarisierung durch die Förderung neuer Anwendungsinstallationen, die Durchführung verdeckterer Werbeinteraktionen usw. Gleichzeitig fanden Forscher auch heraus, dass ihre Spuren in Anwendungen aufgetaucht sind, die über Google Play, Xiaomi GetApps und Anwendungslager von Drittanbietern verbreitet werden.

Was die Quelle angeht, gab Kaspersky an, dass es derzeit nicht in der Lage sei, den ersten Veröffentlichungszeitpunkt zu ermitteln. Das wahrscheinlichere Szenario besteht darin, dass Angreifer in wichtige Phasen der Lieferkette mehrerer Android-Tablets eingedrungen sind und so die schädliche Bibliothek in die Firmware geschrieben haben, bevor die Produkte auf den Markt kamen. Die Untersuchung ergab auch Hinweise auf den Tablet-Hersteller Alldocube: Der Hersteller gab Firmware-Archive öffentlich zur Sicherheitsüberprüfung frei, und Kaspersky nutzte diese Informationen, um weitere Korrelationsanalysen durchzuführen.

Den Telemetriedaten von Kaspersky zufolge sind weltweit insgesamt 13.715 Benutzer von Keenadu und einem seiner Schadmodule betroffen. Zu den Ländern mit konzentrierten Infektionen gehören Russland, Japan, Deutschland, Brasilien und die Niederlande. Kaspersky hat derzeit eine Frühwarnung an relevante Hersteller herausgegeben und den Benutzern empfohlen, Android-Sicherheitsupdates so schnell wie möglich zu installieren, nachdem die Hersteller Patches veröffentlicht haben; Der Vorfall hat einmal mehr gezeigt, dass Angreifer immer häufiger die Komplexität der Kernarchitektur und Sicherheitsmechanismen von Android ausnutzen, um bösartige Fähigkeiten auf Systemebenen zu verlagern, die schwieriger zu erkennen und zu entfernen sind.