Keenadu: nowy backdoor na Androida w firmware i w sklepach z aplikacjami. Tysiące urządzeń pod zdalną kontrolą - Security Bez Tabu

Keenadu: nowy backdoor na Androida w firmware i w sklepach z aplikacjami. Tysiące urządzeń pod zdalną kontrolą

Wprowadzenie do problemu / definicja luki

Keenadu to nowo opisany backdoor na Androida, który w najgroźniejszych wariantach jest zaszyty w firmware urządzenia (czyli w systemowej partycji) i dzięki temu uruchamia się bardzo wcześnie — zanim użytkownik zdąży cokolwiek zainstalować lub skonfigurować. Badacze wskazują, że infekcja dotyczy szczególnie tanich tabletów i innych „budżetowych” urządzeń z Androidem, a dodatkowo złośliwe komponenty były również dystrybuowane jako aplikacje podszywające się pod legalne (m.in. „smart camera”) w sklepach z aplikacjami, w tym w Google Play.

To ważny sygnał ostrzegawczy dla firm (BYOD/COPE/MDM) i użytkowników domowych: część zagrożeń mobilnych nie zaczyna się od „kliknięcia w link”, tylko od łańcucha dostaw (supply chain) i kompromitacji oprogramowania systemowego.

W skrócie

  • Keenadu umożliwia operatorowi zdalne sterowanie urządzeniem i w praktyce służy głównie do monetyzacji przez oszustwa reklamowe (ad fraud): przekierowania wyszukiwań, wymuszanie instalacji, klikanie reklam.
  • Najpoważniejszy scenariusz to infekcja na poziomie firmware: złośliwy kod został dołączony do libandroid_runtime.so i następnie wstrzykiwany do procesu Zygote (rodzica dla aplikacji Androida), co pozwala „wejść” do przestrzeni adresowej wielu aplikacji.
  • Kaspersky raportuje detekcje na ok. 13–14 tys. urządzeń, m.in. w Rosji, Japonii, Niemczech, Brazylii i Holandii.
  • Badacze widzą powiązania ekosystemowe z dużymi botnetami Android/IoT (Triada, BADBOX/BadBox, Vo1d) oraz przesłanki chińskiego pochodzenia części infrastruktury/operacji.

Kontekst / historia / powiązania

Keenadu wpisuje się w szerszy trend: masowe infekcje tanich, słabo aktualizowanych urządzeń Android/IoT (TV boksy, tablety, przystawki) wykorzystywanych jako boty do proxy, ad fraud, dystrybucji kolejnych payloadów i nadużyć w sieci.

  • BADBOX 2.0: organy i instytucje ostrzegały, że urządzenia IoT/Android mogą być „skażone” jeszcze przed zakupem lub podczas początkowej konfiguracji, a potem wciągane do botnetu i usług proxy.
  • Vo1d: niemiecki BSI opisuje Vo1d jako zagrożenie dla Android (szczególnie TV boxów), łącząc je m.in. z loaderem/proxy i ad fraud — czyli dokładnie tym typem monetyzacji, który często napędza takie kampanie.
  • BadBox (pierwotna kampania): po działaniach porządkowych i usunięciach aplikacji z Google Play botnet był częściowo ograniczany, ale sam model biznesowy i łańcuch infekcji ewoluują.

W raporcie o Keenadu Kaspersky podkreśla, że botnety tego typu „zahaczają” o siebie infrastrukturą, dystrybucją i loaderami, a powiązania nie muszą być wprost transytywne (A↔B i B↔C nie zawsze oznacza A↔C).

Analiza techniczna / szczegóły luki

1) Najgroźniejszy wektor: firmware i libandroid_runtime.so

Kaspersky opisuje scenariusz, w którym podczas budowania firmware podlinkowano złośliwą bibliotekę statyczną do systemowego pliku libandroid_runtime.so. Następnie malware wstrzykuje się do procesu Zygote, analogicznie do mechaniki znanej z wybranych wariantów Triady.

Co istotne: badacze zwracają uwagę, że w analizowanym przypadku obrazy firmware miały ważne podpisy cyfrowe, co sugeruje, że sam atak na serwer OTA „nie wystarczy” — w realistycznym scenariuszu napastnik musiał mieć dostęp do procesu budowania/podpisywania albo do kluczy podpisu.

2) Trwałość i „wklejenie” w uruchamianie aplikacji

Jeśli komponent znajduje się w bibliotece systemowej i/lub na partycji systemowej, standardowe „odinstaluj aplikację” nie rozwiązuje problemu. Kaspersky wprost wskazuje, że usunięcie zainfekowanego libandroid_runtime.so narzędziami systemu jest praktycznie niewykonalne bez ryzyka uszkodzenia uruchamiania urządzenia (boot).

3) Modułowość i identyfikacja ofiary (przykład: Google Ads ID)

W raporcie opisano m.in. „Google Play module”, który pozyskuje Google Ads Advertising ID i zapisuje go jako identyfikator ofiary do późniejszego użycia przez inne komponenty.
To pasuje do modelu ad fraud/atrybucji instalacji: sprawca potrzebuje stabilnego identyfikatora, żeby „rozliczać” kliknięcia, instalacje i zdarzenia.

4) Sklepy z aplikacjami jako dodatkowy kanał dystrybucji

Poza firmware Keenadu (lub jego elementy) był dystrybuowany także jako aplikacje (m.in. podszywające się pod kamerę), a fałszywe pozycje w Google Play miały osiągnąć ponad 300 tys. pobrań zanim zostały usunięte.

Praktyczne konsekwencje / ryzyko

  1. Ad fraud to nie „niewinny” problem
    Nawet jeśli główną monetyzacją jest reklama, technika (Zygote / system / backdoor) daje potencjał do dużo poważniejszych nadużyć: podsłuchu ruchu, kradzieży danych z aplikacji, przejmowania sesji, dalszej dystrybucji malware.
  2. Ryzyko dla firm i flot urządzeń
    Tablety „terenowe”, kioski, urządzenia w magazynach czy w punktach sprzedaży często są tanie i długo nieaktualizowane. Z perspektywy SOC/IR zainfekowany firmware oznacza:
  • trudniejsze czyszczenie,
  • kłopot z atrybucją (czy to aplikacja czy system),
  • konieczność twardych działań (wymiana/reflash z zaufanego obrazu).
  1. Zaufanie do łańcucha dostaw
    Jeżeli kompromitacja dotyka warstwy podpisywania/produkcji, sam „bezpieczny sklep z aplikacjami” nie jest wystarczającą barierą.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów IT/SOC (firmy, szkoły, instytucje)

  • Zidentyfikuj ryzykowne klasy urządzeń: szczególnie tanie, „no-name”, z niejasnym kanałem dystrybucji i bez gwarantowanych aktualizacji.
  • Wymuś polityki MDM: blokuj instalacje spoza zarządzanych sklepów, kontroluj listę aplikacji (allowlist), wymuś aktualizacje i szyfrowanie.
  • Traktuj wykrycie w partycji systemowej jako incydent supply-chain: jeśli detekcja dotyczy komponentów systemowych (np. libandroid_runtime.so), załóż, że standardowe czyszczenie nie działa i rozważ wymianę urządzenia lub reflash z pewnego źródła (o ile producent udostępnia wiarygodny obraz i procedurę).
  • Poluj na wskaźniki: Kaspersky udostępnia IoC/YARA w ramach usług TI; jeśli masz taką możliwość, uwzględnij to w threat huntingu.

Dla użytkowników i adminów urządzeń domowych

  • Unikaj niecertyfikowanych urządzeń i „okazji” z marketplace’ów (szczególnie TV boxy/tablety z podejrzanie „wypasioną” specyfikacją w niskiej cenie).
  • Instaluj aplikacje tylko z zaufanych źródeł i weryfikuj wydawcę (developer), uprawnienia i opinie — ale pamiętaj, że w tym przypadku część zagrożeń i tak mogła przyjść z firmware.
  • Jeśli urządzenie zachowuje się podejrzanie (reklamy, przekierowania, samoczynne instalacje, spadki baterii/transferu) i podejrzewasz infekcję systemową: najbezpieczniejsze wyjście to wymiana sprzętu na model z regularnymi aktualizacjami.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Keenadu vs typowe „malware z aplikacji”: tu najważniejsza różnica to możliwość osadzenia w firmware i wpięcia w Zygote, co daje przewagę trwałości i zasięgu w systemie.
  • Keenadu vs BadBox/BADBOX 2.0: BadBox kojarzony jest szeroko z tanimi urządzeniami Android/IoT i monetyzacją (m.in. proxy/ad fraud). Keenadu wygląda jak kolejny element tej samej gospodarki malware, z naciskiem na komponenty systemowe i modułowość.
  • Keenadu vs Vo1d: Vo1d bywa klasyfikowany jako loader/proxy/ad fraud na Android TV boxach, czyli podobna kategoria urządzeń i motywacji finansowej.

Podsumowanie / kluczowe wnioski

Keenadu pokazuje, że „mobilne” zagrożenia coraz częściej są problemem firmware/IoT i łańcucha dostaw, a nie tylko złośliwych APK. Jeżeli malware siedzi w warstwie systemowej i potrafi wstrzykiwać się do Zygote, to konsekwencje wykraczają daleko poza „irytujące reklamy” — mamy do czynienia z pełnoprawnym backdoorem i potencjalnie długotrwałym kompromisem.

Źródła / bibliografia

  1. SecurityWeek — opis kampanii i skali infekcji (18 lutego 2026). (SecurityWeek)
  2. Kaspersky Securelist — analiza techniczna Keenadu, wektory, moduły, rekomendacje, IoC (17 lutego 2026). (Securelist)
  3. FBI/IC3 PSA — ostrzeżenie dot. BADBOX 2.0 i kompromitowanych urządzeń domowych/IoT (5 czerwca 2025). (Federal Bureau of Investigation)
  4. BSI (Niemcy) — profil botnetu Vo1d (loader/proxy/ad fraud). (bsi.bund.de)
  5. Malwarebytes — analiza i działania ograniczające botnet BadBox (6 marca 2025). (Malwarebytes)