Keenadu backdoor
A Sophos kutatása egy súlyos mobilfenyegetésre hívja fel a figyelmet, egyes Android eszközök már gyárilag, firmware szinten fertőzötten kerülnek forgalomba, ami alapjaiban kérdőjelezi meg a végpontok megbízhatóságát. Egy ilyen fertőzött eszköz vállalati környezetbe kerülve perzisztens belső hozzáférési ponttá válhat, amelyet hagyományos EDR/Mobile Security eszközök nem képesek megbízhatóan detektálni.
A kampány központi eleme a Keenadu backdoor, amely nem alkalmazásszinten, hanem az Android egyik kritikus rendszerkomponensébe épül be. Ez a komponens a Zygote folyamathoz kapcsolódik, amely minden Android alkalmazás alapfolyamata, így a malware automatikusan minden futó app kontextusába betöltődik. Ennek eredményeként a támadó teljes eszközszintű kontrollt szerez, megkerülve a hagyományos sandbox és alkalmazásszintű védelmeket.
A Keenadu elsődlegesen downloader és backdoor funkciót lát el, további payloadokat tölt le, amelyek képesek különböző alkalmazások adatainak megszerzésére. A Sophos szerint bár a jelenlegi kampány fő célja reklámcsalás, a technikai képességek alapján a malware könnyen adaptálható adatlopásra vagy kémkedésre is.
A legkritikusabb kockázat a perzisztencia és detekció megkerülése. Mivel a fertőzés firmware szinten történik, a malware túléli a factory resetet, és gyakorlatilag láthatatlan marad a klasszikus mobilvédelmi megoldások számára, amelyek jellemzően csak az alkalmazási réteget vizsgálják. Ez tipikus supply chain kompromittálási modell, ahol a fertőzés még a felhasználóhoz kerülés előtt történik.
