セキュリティベンダーのKasperskyによると、以前に低価格のAndroid端末にプリインストールされていることが判明したトロイの木馬Triadaを追跡していたところ、世界中の多数の端末に感染し、ユーザーの知らないうちにAndroidシステムの最下層に深く侵入するように設計された「Keenadu」と呼ばれるファームウェアレベルのバックドアをさらに発見したという。
Kaspersky 社によると、Keenadu は多くの(ほとんどが無名)ブランドの Android タブレットのファームウェアに組み込まれており、その埋め込み方法は Triada と似ています。つまり、ファームウェアのバイナリ構築段階で、悪意のある静的ライブラリがシステム ライブラリ libandroid_runtime.so に密かにリンクされ、デバイスが工場から出荷される前に「事前埋め込み」が完了します。デバイスが起動すると、悪意のあるライブラリが Zygote プロセスに挿入されます。 Zygote は、後続のシステムおよびアプリケーション プロセスをインキュベートする Android システムの重要な「ルート」プロセスであるため、バックドアはユーザーまたはシステムによって起動されたさまざまなアプリケーションとともに実行でき、より深く広範囲の永続性を実現します。
このバックドアは多段階アーキテクチャを採用しており、オペレータは感染したデバイスを「ほぼ無制限」にリモート制御でき、さまざまな悪意のあるペイロードを配信して複数のタスクを実行できます。観察された機能の中には、ペイロードがブラウザの検索エンジンで改ざんされたり、新しいアプリケーションのインストールを促進して収益を得たり、より秘密の広告インタラクションを実行したりする可能性があります。同時に研究者らは、その痕跡が Google Play、Xiaomi GetApps、およびサードパーティのアプリケーション ウェアハウスを通じて配布されたアプリケーションに現れていることも発見しました。
情報源に関する限り、Kaspersky は、現時点では最初のリリース ポイントを特定できないと述べています。より可能性の高いシナリオは、攻撃者が複数の Android タブレットのサプライ チェーンの主要な段階で侵入を実行し、製品が市場に届く前に悪意のあるライブラリがファームウェアに書き込まれることを可能にしたというものです。この調査では、タブレット メーカー Alldocube にも手がかりが遡ることができました。このメーカーは、セキュリティ レビューのためにファームウェア アーカイブを公開する予定であり、Kaspersky はこの情報を使用してさらに相関分析を実施しました。
Kaspersky のテレメトリ データによると、世界中で合計 13,715 人のユーザーが Keenadu とその悪意のあるモジュールの 1 つによって影響を受けています。感染が集中している国には、ロシア、日本、ドイツ、ブラジル、オランダが含まれる。カスペルスキーは現在、関連メーカーに早期警告を発し、メーカーがパッチをプッシュしたらできるだけ早く Android セキュリティ アップデートをインストールすることをユーザーに推奨しています。この事件は、攻撃者が Android のコア アーキテクチャとセキュリティ メカニズムの複雑性を利用して、悪意のある機能を検出および削除がより困難なシステム レベルに移行させることがより頻繁に行われていることを改めて浮き彫りにしました。