Keenadu คือมัลแวร์แบ็คดอร์ Android ขั้นสูงที่แพร่เชื้อในเฟิร์มแวร์ของอุปกรณ์ตั้งแต่ขั้นตอนการสร้าง และยังแพร่กระจายผ่านแอปพลิเคชันบน Google Play ทำให้ผู้โจมตีสามารถควบคุมแท็บเล็ตและโทรศัพท์ของเหยื่อจากระยะไกลได้ การวิเคราะห์อย่างละเอียดเปิดเผยว่าภัยคุกคามนี้เลียนแบบ Triada Trojan โดยการแทรกแซงกระบวนการ Zygote ซึ่งส่งผลกระทบต่อทุกแอปพลิเคชันที่เปิดใช้งาน พบ Keenadu ในเฟิร์มแวร์ของแบรนด์ต่างๆ เช่น Alldocube โดยมีผู้ตกเป็นเหยื่อกว่า 13,715 รายทั่วโลก โดยเฉพาะในรัสเซีย ญี่ปุ่น เยอรมนี และบราซิล
Severity: สูง
System Impact:
- อุปกรณ์ Android (แท็บเล็ตและโทรศัพท์)
- เฟิร์มแวร์อุปกรณ์ (ตั้งแต่ขั้นตอนการสร้าง)
- แอปพลิเคชันบน Google Play Store
- กระบวนการ Zygote ของ Android
- แบรนด์ Android บางยี่ห้อ (เช่น Alldocube)
- แพลตฟอร์ม Xiaomi GetApps
- เบราว์เซอร์ (เช่น Chrome)
- แอปพลิเคชัน Launcher
- แอปพลิเคชันช้อปปิ้ง (Amazon, SHEIN, Temu)
Technical Attack Steps:
- **การติดเชื้อเฟิร์มแวร์**: Keenadu ฝังไลบรารีที่เป็นอันตราย (libVndxUtils.a, MD5: ca98ae7ab25ce144927a46b7fee6bd21) เข้าไปใน libandroid_runtime.so ระหว่างการคอมไพล์เฟิร์มแวร์
- **การแพร่กระจาย**: ถูกติดตั้งผ่านการอัปเดต OTA และแพร่กระจายผ่านแอปพลิเคชันที่ถูกบุกรุกบน Google Play (เช่น ซอฟต์แวร์กล้องอัจฉริยะ) และ Xiaomi GetApps
- **การแทรกแซงกระบวนการ Zygote**: ตัวดรอปเปอร์ใน libandroid_runtime.so จะเปลี่ยนเมธอด println_native เพื่อเรียกใช้ __log_check_tag_count ซึ่งเป็นเทคนิคที่คล้ายกับ Triada Trojan
- **การถอดรหัสและการเรียกใช้เพย์โหลด**: ถอดรหัสเพย์โหลดโดยใช้ RC4 และโหลดผ่าน DexClassLoader ไปยัง /data/dalvik-cache/ เพื่อเรียกใช้ com.ak.test.Main
- **การหลบเลี่ยงการตรวจจับ**: หลบเลี่ยงแอปของ Google/Sprint/T-Mobile และกลไก kill switch
- **การสื่อสาร C2**: สร้างสถาปัตยกรรมไคลเอนต์-เซิร์ฟเวอร์ด้วย AKClient ในแอปและ AKServer ใน system_server โดยใช้ Binder IPC และติดต่อกับเซิร์ฟเวอร์ C2 (เช่น keepgo123.com, gsonx.com, ปลายทาง /ak/api/pts/v4)
- **โมดูลและฟังก์ชันการทำงานที่เป็นอันตราย**: สกัดกั้นเพย์โหลดที่กำหนดเป้าหมายเบราว์เซอร์ (การไฮแจ็กการค้นหา Chrome ผ่านการตรวจสอบ url_bar), ตัวเปิดใช้งาน (การสร้างรายได้จากการติดตั้งผ่านการติดตามเซสชัน) และแอปช้อปปิ้ง (Amazon, SHEIN, Temu สำหรับโหลด APKs)
- **การฉ้อโกงโฆษณา**: ใช้โมดูล เช่น Nova/Phantom clicker สำหรับการฉ้อโกงโฆษณา
- **การตรวจสอบเพย์โหลด**: เพย์โหลดใช้ลายเซ็น DSA, การตรวจสอบ MD5 และการถอดรหัส AES ก่อนดำเนินการ
Recommendations:
Short Term:
- อัปเดตเฟิร์มแวร์เป็นเวอร์ชันที่สะอาดและไม่มีมัลแวร์ หากมีจากผู้ผลิต
- ปิดใช้งานแอปพลิเคชันระบบที่ถูกติดมัลแวร์ผ่าน ADB (เช่น pm disable com.aiworks.faceidservice)
- ถอนการติดตั้งแอปพลิเคชันที่ติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ (sideloaded apps)
- หลีกเลี่ยงการใช้อุปกรณ์ที่ถูกติดมัลแวร์จนกว่าจะได้รับการแก้ไขอย่างสมบูรณ์
Long Term:
- ทำการตรวจสอบซัพพลายเชนของเฟิร์มแวร์อย่างละเอียดถี่ถ้วน
- เปิดใช้งานและตรวจสอบ Verified Boot (การบูตที่ตรวจสอบแล้ว) สำหรับอุปกรณ์ Android เพื่อป้องกันการแทรกแซงเฟิร์มแวร์
Source: https://cybersecuritynews.com/keenadu-android-malware/
Share this content: