據安全廠商卡巴斯基披露,其在追蹤此前被發現會預裝在低價Android設備中的木馬 Triada 時,進一步發現一種名為“Keenadu”的固件級后門,已在全球范圍內感染大量設備,并被設計為在用戶不知情的情況下深入Android系統底層運行。
卡巴斯基稱,Keenadu 出現在多家(多數未公開點名的)品牌Android平板的固件中,其植入方式與 Triada 類似:在固件二進制構建階段,將惡意靜態庫悄然與系統庫 libandroid_runtime.so 鏈接,從而在設備出廠前就完成“預埋” 。設備啟動后,惡意庫會注入到 Zygote 進程;由于 Zygote 是Android系統中孵化后續系統與應用進程的關鍵“根”進程,后門由此可隨用戶或系統啟動的各類應用一并運行,實現更深層、更廣泛的駐留 。
![]()
該后門采用多階段架構,操作者可對被感染設備進行遠程“幾乎不受限制”的控制,并可下發不同惡意載荷執行多類任務 。在已觀察到的能力中,載荷可針對瀏覽器搜索引擎進行篡改,借由推動新應用安裝實現變現,進行更隱蔽的廣告交互等,同時研究人員還發現其蹤跡曾出現在通過 Google Play、小米 GetApps 以及第三方應用倉庫分發的應用中 。
就來源而言,卡巴斯基表示暫無法確定最初投放點,更可能的情況是攻擊者在多款Android平板的供應鏈關鍵階段實施入侵,使惡意庫在產品到達市場前就被寫入固件 。調查還將線索追溯至平板廠商 Alldocube:該廠商會公開發布固件歸檔文件以便安全審查,而卡巴斯基正是借助這些信息進一步進行關聯分析 。
根據卡巴斯基遙測數據,全球共有 13715 名用戶受到 Keenadu 及其某個惡意模塊影響,感染較集中的國家包括俄羅斯、日本、德國、巴西和荷蘭 。目前卡巴斯基已向相關廠商發出預警,并建議用戶在廠商推送補丁后盡快安裝Android安全更新;事件也再次凸顯攻擊者正更頻繁地利用Android核心架構與安全機制的復雜性,將惡意能力前移至更難發現和清除的系統層級 。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.