Keenadu Android Backdoor แทรกซึมเฟิร์มแวร์ แพร่กระจายผ่าน Google Play เพื่อเข้าถึงควบคุมจากระยะไกล

Keenadu คือมัลแวร์แบ็คดอร์ Android ขั้นสูงที่แพร่เชื้อในเฟิร์มแวร์ของอุปกรณ์ตั้งแต่ขั้นตอนการสร้าง และยังแพร่กระจายผ่านแอปพลิเคชันบน Google Play ทำให้ผู้โจมตีสามารถควบคุมแท็บเล็ตและโทรศัพท์ของเหยื่อจากระยะไกลได้ การวิเคราะห์อย่างละเอียดเปิดเผยว่าภัยคุกคามนี้เลียนแบบ Triada Trojan โดยการแทรกแซงกระบวนการ Zygote ซึ่งส่งผลกระทบต่อทุกแอปพลิเคชันที่เปิดใช้งาน พบ Keenadu ในเฟิร์มแวร์ของแบรนด์ต่างๆ เช่น Alldocube โดยมีผู้ตกเป็นเหยื่อกว่า 13,715 รายทั่วโลก โดยเฉพาะในรัสเซีย ญี่ปุ่น เยอรมนี และบราซิล

Severity: สูง

System Impact:

• อุปกรณ์ Android (แท็บเล็ตและโทรศัพท์)
• เฟิร์มแวร์อุปกรณ์ (ตั้งแต่ขั้นตอนการสร้าง)
• แอปพลิเคชันบน Google Play Store
• กระบวนการ Zygote ของ Android
• แบรนด์ Android บางยี่ห้อ (เช่น Alldocube)
• แพลตฟอร์ม Xiaomi GetApps
• เบราว์เซอร์ (เช่น Chrome)
• แอปพลิเคชัน Launcher
• แอปพลิเคชันช้อปปิ้ง (Amazon, SHEIN, Temu)

Technical Attack Steps:

1. **การติดเชื้อเฟิร์มแวร์**: Keenadu ฝังไลบรารีที่เป็นอันตราย (libVndxUtils.a, MD5: ca98ae7ab25ce144927a46b7fee6bd21) เข้าไปใน libandroid_runtime.so ระหว่างการคอมไพล์เฟิร์มแวร์
2. **การแพร่กระจาย**: ถูกติดตั้งผ่านการอัปเดต OTA และแพร่กระจายผ่านแอปพลิเคชันที่ถูกบุกรุกบน Google Play (เช่น ซอฟต์แวร์กล้องอัจฉริยะ) และ Xiaomi GetApps
3. **การแทรกแซงกระบวนการ Zygote**: ตัวดรอปเปอร์ใน libandroid_runtime.so จะเปลี่ยนเมธอด println_native เพื่อเรียกใช้ __log_check_tag_count ซึ่งเป็นเทคนิคที่คล้ายกับ Triada Trojan
4. **การถอดรหัสและการเรียกใช้เพย์โหลด**: ถอดรหัสเพย์โหลดโดยใช้ RC4 และโหลดผ่าน DexClassLoader ไปยัง /data/dalvik-cache/ เพื่อเรียกใช้ com.ak.test.Main
5. **การหลบเลี่ยงการตรวจจับ**: หลบเลี่ยงแอปของ Google/Sprint/T-Mobile และกลไก kill switch
6. **การสื่อสาร C2**: สร้างสถาปัตยกรรมไคลเอนต์-เซิร์ฟเวอร์ด้วย AKClient ในแอปและ AKServer ใน system_server โดยใช้ Binder IPC และติดต่อกับเซิร์ฟเวอร์ C2 (เช่น keepgo123.com, gsonx.com, ปลายทาง /ak/api/pts/v4)
7. **โมดูลและฟังก์ชันการทำงานที่เป็นอันตราย**: สกัดกั้นเพย์โหลดที่กำหนดเป้าหมายเบราว์เซอร์ (การไฮแจ็กการค้นหา Chrome ผ่านการตรวจสอบ url_bar), ตัวเปิดใช้งาน (การสร้างรายได้จากการติดตั้งผ่านการติดตามเซสชัน) และแอปช้อปปิ้ง (Amazon, SHEIN, Temu สำหรับโหลด APKs)
8. **การฉ้อโกงโฆษณา**: ใช้โมดูล เช่น Nova/Phantom clicker สำหรับการฉ้อโกงโฆษณา
9. **การตรวจสอบเพย์โหลด**: เพย์โหลดใช้ลายเซ็น DSA, การตรวจสอบ MD5 และการถอดรหัส AES ก่อนดำเนินการ

Recommendations:

Short Term:

• อัปเดตเฟิร์มแวร์เป็นเวอร์ชันที่สะอาดและไม่มีมัลแวร์ หากมีจากผู้ผลิต
• ปิดใช้งานแอปพลิเคชันระบบที่ถูกติดมัลแวร์ผ่าน ADB (เช่น pm disable com.aiworks.faceidservice)
• ถอนการติดตั้งแอปพลิเคชันที่ติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ (sideloaded apps)
• หลีกเลี่ยงการใช้อุปกรณ์ที่ถูกติดมัลแวร์จนกว่าจะได้รับการแก้ไขอย่างสมบูรณ์

Long Term:

• ทำการตรวจสอบซัพพลายเชนของเฟิร์มแวร์อย่างละเอียดถี่ถ้วน
• เปิดใช้งานและตรวจสอบ Verified Boot (การบูตที่ตรวจสอบแล้ว) สำหรับอุปกรณ์ Android เพื่อป้องกันการแทรกแซงเฟิร์มแวร์

Source: https://cybersecuritynews.com/keenadu-android-malware/