Keenadu Android backdoor
A Kaspersky elemzése szerint a Keenadu Android backdoor nem egy egyszerű spyware, hanem egy moduláris, távoli vezérlést biztosító malware, amelyet úgy terveztek, hogy észrevétlenül működjön, adatokat gyűjtsön, és parancsokat fogadjon a támadók szerveréről — ami komoly mobilbiztonsági kockázatot jelent a mai Android-felhasználók számára.
A kutatók szerint a Keenadu nem egyszerű rosszindulatú alkalmazás álcázva, hanem egy összetett, többfázisú backdoor-mechanizmus, amelyet kifejezetten Android rendszerekhez fejlesztettek ki, és amely képes távoli parancsok fogadására, adatszivárgásra és más malware-összetevők telepítésére.
A legérdekesebb, hogy a malware triviálisnak tűnő kezdéssel indul, gyakran legitimeknek látszó alkalmazásokba van rejtve, amelyek elsőre egyszerű funkciókat kínálnak, miközben a háttérben kódot töltenek le egy C2 szerverről. A Securelist elemzése szerint a kommunikáció gyakran SSL/TLS-en keresztül, titkosítva történik, ezzel még nehezebbé téve a detektálást a hálózati védelem számára.
Miután a backdoor betöltődik és inicializálódik, képes fogadni RAT-szerű (parancsokat a támadó infrastruktúráról, például adatbázis- és fájllekérdezések, üzenetek és hívásnaplók kiolvasása, GPS-helyadatok küldése, mikrofon és kamera vezérlése, vagy egyéb modulok telepítése a további lopások vagy megfigyelés céljából. A moduláris felépítés azt is jelenti, hogy a backdoor dinamikusan bővíthető további funkciókkal a kampány során.
A Securelist szerint a Keenadu egyik kulcskockázata az, hogy a felhasználók gyakorlatilag észrevétlenül fertőződhetnek, mert a malware gyakran olyan funkciókat kér engedélyezésre, amelyek elsőre legitimnek tűnnek, miközben ezek a jogosultságok lehetővé teszik a rejtett háttérműveleteket is. A kutatók azt figyelték meg, hogy a kód abszolút nem ritkán adat exportoló célokra vagy arcfelismerési szolgáltatásokhoz kapcsolódó csomagokba van ágyazva, ami növeli a felhasználók bizalmát.
