Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli esperti di Kaspersky Lab hanno scoperto una nuova backdoor per Android, Keenadu, che si infiltra nei dispositivi attraverso diversi canali: firmware infetto, app di sistema e il Google Play Store ufficiale. L’azienda ha avvertito che gli utenti rischiano di acquistare dispositivi già infetti.
A febbraio 2026, le soluzioni dell’azienda hanno rilevato oltre 13.000 dispositivi attaccati da Keenadu. Il maggior numero di vittime si trova in Russia, Giappone, Germania, Brasile e Paesi Bassi.
Lo schema di incorporamento del firmware della backdoor è il seguente: la libreria statica dannosa libVndxUtils.a è collegata a libandroid_runtime.so e infetta il processo Zygote, il processo padre di tutte le applicazioni del sistema. Una copia della backdoor finisce nello spazio degli indirizzi di ogni applicazione in esecuzione, rendendo inutile l’isolamento tra le applicazioni.
I ricercatori hanno tracciato il percorso dell’infezione utilizzando i tablet Alldocube, in particolare il modello Alldocube iPlay 50 mini Pro (T811M). È stato scoperto che la dipendenza dannosa era penetrata nel repository del codice sorgente del firmware durante il processo di compilazione.
Si sottolinea che il firmware infetto aveva una firma valida e che tutti gli aggiornamenti successivi per i modelli interessati erano anch’essi infetti (inclusi quelli rilasciati dopo che il fornitore aveva pubblicamente riconosciuto il problema).
Keenadu è stato trovato anche in dispositivi di altri produttori e i ricercatori ritengono che si tratti di un attacco alla catena di fornitura: la dipendenza compromessa è stata introdotta nel codice sorgente del firmware e i produttori probabilmente non erano a conoscenza dell’infezione.
Vale la pena notare che Keenadu non si attiverà se la lingua o il fuso orario del dispositivo della vittima sono impostati sulla Cina.
L’architettura di Keenadu si basa su un modello client-server: il componente server (AKServer) viene eseguito nel processo privilegiato system_server, mentre il componente client (AKClient) è integrato in tutte le altre applicazioni. Questo offre agli autori di malware un controllo praticamente illimitato sul dispositivo: possono concedere e revocare autorizzazioni da qualsiasi applicazione, ottenere dati di geolocalizzazione, IMEI, indirizzo MAC e altre informazioni sul dispositivo.
È stato notato che nelle versioni più recenti di Android, la distribuzione degli APK viene implementata tramite sessioni di installazione. Si tratta probabilmente di un tentativo del malware di aggirare le restrizioni introdotte nelle versioni recenti del sistema operativo: le app di terze parti non possono accedere ad autorizzazioni pericolose, in particolare alle funzionalità di accessibilità.
Secondo gli esperti di Kaspersky, la backdoor viene utilizzata per attuare diversi schemi criminali. Il principale è la frode pubblicitaria attraverso l’interazione nascosta con elementi pubblicitari e la monetizzazione delle installazioni di app (simulando clic sugli annunci).
Di particolare rilievo è il caso in cui Keenadu è stato trovato all’interno dell’app di riconoscimento facciale del sistema. Questo, teoricamente, ha consentito agli aggressori di accedere ai dati biometrici delle vittime. Sono state scoperte nel Google Play Store ufficiale diverse app per fotocamere intelligenti infette da malware, con un totale complessivo di oltre 300.000 download. Ora sono state rimosse.
“Il malware preinstallato rimane un problema persistente per molti dispositivi Android. Utenti ignari possono acquistare accidentalmente dispositivi già infetti. Pertanto, per proteggere dispositivi e dati, è essenziale installare un software di sicurezza in grado di rilevare il malware. Sospettiamo che i produttori non fossero a conoscenza della compromissione della supply chain che ha permesso a Keenadu di infiltrarsi nei dispositivi, poiché il malware imitava componenti di sistema legittimi. Date queste minacce, è fondamentale che i produttori monitorino attentamente ogni fase della produzione dei dispositivi e si assicurino che il firmware non sia infetto”, commenta Dmitry Kalinin, Senior Cybersecurity Researcher di Kaspersky Lab.
È impossibile rimuovere Keenadu utilizzando gli strumenti standard di Android: nelle versioni moderne del sistema operativo, la partizione di sistema in cui si trova libandroid_runtime.so è montata in sola lettura. Le uniche opzioni sono trovare e installare un firmware pulito dal produttore (se disponibile) o effettuare autonomamente il reflash del dispositivo. L’azienda raccomanda di interrompere l’utilizzo dei dispositivi infetti fino alla sostituzione del firmware.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
