Según el proveedor de seguridad Kaspersky, mientras rastreaba el troyano Triada, que anteriormente se había descubierto que estaba preinstalado en dispositivos Android de bajo precio, descubrió además una puerta trasera a nivel de firmware llamada "Keenadu" que ha infectado una gran cantidad de dispositivos en todo el mundo y está diseñada para penetrar profundamente en la capa inferior del sistema Android sin el conocimiento del usuario.
Kaspersky dijo que Keenadu aparece en el firmware de muchas marcas (en su mayoría sin nombre) de tabletas Android, y su método de implantación es similar al de Triada: durante la fase de construcción binaria del firmware, la biblioteca estática maliciosa se vincula silenciosamente con la biblioteca del sistema libandroid_runtime.so, completando así la "preintegración" antes de que el dispositivo salga de fábrica. Una vez iniciado el dispositivo, la biblioteca maliciosa se inyectará en el proceso Zygote; Dado que Zygote es el proceso "raíz" clave en el sistema Android para incubar procesos posteriores del sistema y de las aplicaciones, la puerta trasera puede ejecutarse junto con varias aplicaciones iniciadas por el usuario o el sistema, logrando una persistencia más profunda y amplia.
La puerta trasera adopta una arquitectura de varias etapas, lo que permite al operador controlar de forma remota el dispositivo infectado con un control "casi ilimitado" y puede entregar diferentes cargas maliciosas para realizar múltiples tareas. Entre las capacidades observadas, la carga útil puede ser manipulada por los motores de búsqueda del navegador, monetizada mediante la promoción de nuevas instalaciones de aplicaciones, realizar interacciones publicitarias más encubiertas, etc. Al mismo tiempo, los investigadores también descubrieron que sus rastros han aparecido en aplicaciones distribuidas a través de Google Play, Xiaomi GetApps y almacenes de aplicaciones de terceros.
En lo que respecta a la fuente, Kaspersky afirmó que actualmente no puede determinar el punto de lanzamiento inicial. El escenario más probable es que los atacantes llevaran a cabo intrusiones en etapas clave de la cadena de suministro de múltiples tabletas Android, permitiendo que la biblioteca maliciosa se escribiera en el firmware antes de que los productos llegaran al mercado. La investigación también encontró pistas hasta el fabricante de tabletas Alldocube: el fabricante publicaría archivos de firmware para una revisión de seguridad, y Kaspersky utilizó esta información para realizar más análisis de correlación.
Según los datos de telemetría de Kaspersky, un total de 13.715 usuarios en todo el mundo se ven afectados por Keenadu y uno de sus módulos maliciosos. Los países con infecciones concentradas incluyen Rusia, Japón, Alemania, Brasil y Países Bajos. Actualmente, Kaspersky ha emitido una advertencia temprana a los fabricantes relevantes y ha recomendado que los usuarios instalen actualizaciones de seguridad de Android lo antes posible después de que los fabricantes publiquen parches; El incidente ha puesto de relieve una vez más que los atacantes se aprovechan cada vez más de la complejidad de la arquitectura central y los mecanismos de seguridad de Android para mover capacidades maliciosas a niveles del sistema que son más difíciles de detectar y eliminar.