Một backdoor Android nguy hiểm vừa được phát hiện trên hàng nghìn thiết bị toàn cầu
Tổng quan
Trong những nằm gần đây, hệ sinh thái Android liên tục trở thành mục tiêu của các chiến dịch tấn công quy mô lớn. Tuy nhiên, phần lớn malware vẫn phụ thuộc vào yếu tố con người, người dùng phải tải ứng dụng độc hại hoặc vô tình cấp quyền truy cập nguy hiểm. Sự xuất hiện của Keenadu đã phá vỡ mô hình này.
Keenadu là một dòng malware Android mới được phát hiện tồn tại ngay bên trong firmware thiết bị, khác với malware Android truyền thống, Keenadu không cần người dùng cài đặt ứng dụng độc hại, mà đã tồn tại ngay từ khi thiết bị được xuất xưởng.
Đến thời điểm hiện tại Kaspersky xác nhận có hơn 13.000 thiết bị đã bị nhiễm trên toàn cầu trong đó chủ yếu ở các quốc gia như: Nga, Nhật Bản, Đức, Brazil và Hà Lan. Đây thực sự là một con số biết nói về mức độ ảnh hưởng của mã độc này.
Những phát hiện ban đầu
Việc phát hiện Keenadu bắt nguồn từ quá trình điều tra các biến thể mới của Triada backdoor - đây được xem là một malware Android nổi tiếng từng lây nhiễm thiết bị giả mạo trước đây.
A new version of Triada spreads embedded in the firmware of Android devices | Securelist
Trong khi truy vết các botnet Android quy mô lớn, nhóm nghiên cứu nhận thấy:
Một backdoor hoàn toàn mới.
Hoạt động sâu hơn Triada.
Có liên hệ với nhiều botnet Android lớn.
Điều này cho thấy hệ sinh thái malware Android đang chuyển sang mô hình supply-chain attack thay vì lừa người dùng cài APK.
Xu hướng tấn công
Lịch sử Keenadu phản ánh xu hướng mới của mobile malware:
Giai đoạn | Kiểu tấn công |
|---|---|
Trước 2020 | App độc hại |
2020–2024 | System app / privilege abuse |
2025 → nay | Firmware & Supply Chain |
Kiến trúc của Keenadu
Kiến trúc Keenadu có thể được chia thành 4 tầng chính:
Mỗi tầng đảm nhiệm một vai trò riêng nhằm đảm bảo stealth + persistence + remote control. Đặc biệt là Keenadu được tích hợp vào: libandroid_runtime.so.Đây có thể được xem như là thư viện hệ thống quan trọng của Android:
Được load trong quá trình boot
Sử dụng bởi mọi ứng dụng
Thuộc runtime framework
Khi thư viện này bị sửa đổi thì lập tức Malware sẽ:
Inject vào tiến trình Zygote
Tự động xuất hiện trong mọi app
Chuỗi tấn công
Giai đoạn đầu tiên là quá trình xâm nhập ban đầu của chuỗi cung ứng hay còn được gọi là Initial Compromise. Như đã đề cập trước đó thì Malware không được cài sau khi bán mà mã độc được chèn trực tiếp trong quá trình build firmware. Kẻ tấn công sẽ thực hiện các bước sau:
Xâm nhập vendor OEM / firmware integrator
Sửa Android system image
Thêm thư viện độc hại vào hệ thống
Cụ thể malware sẽ được link vào libandroid_runtime.so - đây là core library của Android framework. Và chính tại thời điểm này thì thiết bị đã bị lây nhiễm malware ngay từ nơi mà nó được sản xuất.
Đến giai đoạn hai kẻ tấn công sẽ phát tán thiết bị nhiễm. Nguồn phân phối cũng rất đa dạng để có thể đến được tay nạn nhân. Firmware nhiễm được phân phối qua:
Tablet / phone OEM giá rẻ
Thiết bị clone
Firmware signed hợp lệ
OTA update chính thức
Một số firmware thậm chí mang digital signature hợp lệ, khiến việc phát hiện gần như không thể. Sau khi đã đến tay nạn nhân thì giai đoạn 3 sẽ được thực hiện - kích hoạt khi hệ thống boot.
Android sẽ load chuỗi cung ứng: boot → system framework → libandroid_runtime.so Chính vì thư viện đã bị chỉnh sửa cho nên:
Keenadu chạy trước mọi ứng dụng
Chạy với quyền system/native
Điểm hay ở giai đoạn này chính là không cần exploit cũng như không cần privilege escalation. Ngay sau giai đoạn này sẽ là một giai đoạn quan trọng nhất của cả chiến dịch tấn công - Zygote Process Injection.
Trong Android thì Zygote được hiểu là tiến trình cha của toàn bộ ứng dụng.
Sau khi Zygote start thì malware sẽ chèn code độc hại tại đây
Sau đó load backdoor vào memory Zygote, Nhiệm vụ của backdoor ở bước này là:
Được mmap vào process memory
Chạy với quyền system
Trở thành một phần của Zygote
Đương nhiên hậu quả của nó để lại ở giai đoạn này cũng rất nghiêm trọng:
Malware tồn tại trong memory của mọi ứng dụng
Bypass sandbox Android
Truy cập dữ liệu app khác
Sau khi đã nằm trong thiết bị thì mục tiêu tiếp theo của kẻ tấn công là lây nhiễm toàn bộ ứng dụng. Khi người dùng mở bất kỳ một App nào lên thì lập tức chuỗi thực thi sẽ được thực hiện.
App bị nhiễm mà:
Không thay đổi APK
Không cảnh báo
Không cần permission mới
Sau khi đã bị lây nhiễm kẻ tấn công sẽ thực hiện duy trì và nhận lệnh bằng cách thiết lập backdoor cũng như cấu hình máy chủ C2: 67.198.232[.]4 hoặc 67.198.232[.]187.
Tại đây Keenadu bắt đầu quá trình thu thập thông tin thiết bị của nạn nhân như: model, firmware, app list hay Google services status. Sau đó dữ liệu sẽ được gửi về máy chủ C2 và nhận các cấu hình hoạt động. Từ đây thiết bị của bạn sẽ vô tình trở thành một Remote-controlled Android node.
Tại đây Backdoor cho phép:
Cài APK tùy ý
Cấp quyền tự động
Tải module mới
Điều khiển từ xa hoàn toàn
Keenadu tại đây sẽ hoạt động kiểu loader platform. Tức là sau khi kết nối đến C2, server sẽ gửi các module theo mục tiêu cụ thể.
Ad fraud module
Data harvesting
App hijacking
Proxy / botnet node
Một điểm nữa của Keenadu cũng là khả năng tránh phân tích. Keenadu chỉ kích hoạt nếu:
Có Google Play Services
Không dùng Chinese locale/timezone
Hậu quả
Mất hoàn toàn quyền kiểm soát thiết bị
Thiết bị bị kiểm soát từ xa
Attacker có thể chạy mã tùy ý
Cài ứng dụng mà người dùng không biết
Rò rỉ dữ liệu cá nhân quy mô lớn
Đánh cắp tài khoản mạng xã hội
Chiếm email
Lộ thông tin định danh
Theo dõi hành vi người dùng
Nguy cơ tài chính
Mất tiền
Gian lận thanh toán
Lạm dụng ví điện tử
Suy giảm hiệu năng & tuổi thọ thiết bị
Hao pin nhanh
Nóng máy
Tiêu tốn dữ liệu mạng
Giảm tuổi thọ phần cứng
Kết luận
Sự xuất hiện của Keenadu đánh dấu một bước chuyển nguy hiểm trong bức tranh an ninh di động hiện đại. Nếu trước đây phần lớn malware Android phụ thuộc vào việc đánh lừa người dùng cài đặt ứng dụng độc hại, thì nay kẻ tấn công đã tiến xa hơn - xâm nhập trực tiếp vào chuỗi cung ứng thiết bị, nơi người dùng gần như không còn khả năng tự bảo vệ bằng các biện pháp thông thường.
Điều đáng lo ngại nhất không nằm ở số lượng thiết bị đã nhiễm, mà ở mô hình tấn công mà Keenadu đại diện: malware cấp firmware có khả năng tồn tại bền vững, ẩn mình sâu trong hệ thống và vượt qua hầu hết cơ chế phòng vệ truyền thống. Đây không còn là vấn đề của riêng người dùng cá nhân mà là thách thức đối với toàn bộ hệ sinh thái Android - từ nhà sản xuất phần cứng, nhà phát triển firmware cho đến chuỗi phân phối toàn cầu.
Khuyến nghị
- Chỉ mua thiết bị từ hãng uy tín
Ưu tiên:
Samsung
Google Pixel
Xiaomi (official store)
OPPO / Vivo phân phối chính hãng
Keenadu chủ yếu xuất hiện trên thiết bị OEM giá rẻ.
- Kiểm tra nguồn bán
Nên mua tại:
Cửa hàng chính hãng
Đại lý uỷ quyền
Nhà bán lẻ lớn
Không nên:
Mua máy đã mở hộp
Máy cài sẵn app lạ
Máy đã root hoặc unlock bootloader
- Kiểm tra ứng dụng hệ thống
Truy cập
Settings → Apps → Show system appsCảnh báo nếu thấy:
App không rõ tên nhà phát triển
App không thể gỡ
App có quyền quá cao
- Kiểm tra chứng nhận Play Protect
Truy cập:
Google Play → Settings → AboutPhải thấy: Play Protect certification: Certified
Nếu Not Certified → nguy cơ firmware bị chỉnh sửa.
IOCs
- Domain C2
fbsimg[.]com
tmgstatic[.]com
gbugreport[.]com
aifacecloud[.]com
goaimb[.]com
proczone[.]com
gvvt1[.]com
dllpgd[.]click
fbgraph[.]com
newsroomlabss[.]com
sliidee[.]com
keepgo123[.]com
gsonx[.]com
gmsstatic[.]com
ytimg2[.]com
glogstatic[.]com
gstatic2[.]com
uscelluliar[.]com
playstations[.]click
- IP C2
110.34.191[.]81
110.34.191[.]82
67.198.232[.]4
67.198.232[.]187
- Payload CDN
ubkt1x.oss-us-west-1.aliyuncs[.]com
m-file-us.oss-us-west-1.aliyuncs[.]com
pkg-czu.istaticfiles[.]com
pkgu.istaticfiles[.]com
app-download.cn-wlcb.ufileos[.]com
- Malicious Hash
bccd56a6b6c9496ff1acd40628edd25e
c4c0e65a5c56038034555ec4a09d3a37
cb9f86c02f756fb9afdb2fe1ad0184ee
f59ad0c8e47228b603efc0ff790d4a0c
f9b740dd08df6c66009b27c618f1e086
02c4c7209b82bbed19b962fb61ad2de3
185220652fbbc266d4fdf3e668c26e59
36db58957342024f9bc1cdecf2f163d6
4964743c742bb899527017b8d06d4eaa
58f282540ab1bd5ccfb632ef0d273654
59aee75ece46962c4eb09de78edaa3fa
8d493346cb84fbbfdb5187ae046ab8d3
9d16a10031cddd222d26fcb5aa88a009
a191b683a9307276f0fc68a2a9253da1
65f290dd99f9113592fba90ea10cb9b3
68990fbc668b3d2cfbefed874bb24711
6d93fb8897bf94b62a56aca31961756a
2922df6713f865c9cba3de1fe56849d7
3dae1f297098fa9d9d4ee0335f0aeed3
462a23bc22d06e5662d379b9011d89ff
4c4ca7a2a25dbe15a4a39c11cfef2fb2
5048406d8d0affa80c18f8b1d6d76e21
529632abf8246dfe555153de6ae2a9df
7ceccea499cfd3f9f9981104fc05bcbd
912bc4f756f18049b241934f62bfb06c
98ff5a3b5f2cdf2e8f58f96d70db2875
aa5bf06f0cc5a8a3400e90570fb081b0
ad60f46e724d88af6bcacb8c269ac3c1
dc3d454a7edb683bec75a6a1e28a4877
f0184f6955479d631ea4b1ea0f38a35d
07546413bdcb0e28eadead4e2b0db59d
0c1f61eeebc4176d533b4fc0a36b9d61
10d8e8765adb1cbe485cb7d7f4df21e4
11eaf02f41b9c93e9b3189aa39059419
19df24591b3d76ad3d0a6f548e608a43
1bfb3edb394d7c018e06ed31c7eea937
1c52e14095f23132719145cf24a2f9dc
21846f602bcabccb00de35d994f153c9
2419583128d7c75e9f0627614c2aa73f
28e6936302f2d290c2fec63ca647f8a6
382764921919868d810a5cf0391ea193
45bf58973111e00e378ee9b7b43b7d2d
56036c2490e63a3e55df4558f7ecf893
64947d3a929e1bb860bf748a15dba57c
69225f41dcae6ddb78a6aa6a3caa82e1
6df8284a4acee337078a6a62a8b65210
6f6e14b4449c0518258beb5a40ad7203
7882796fdae0043153aa75576e5d0b35
7c3e70937da7721dd1243638b467cff1
9ddd621daab4c4bc811b7c1990d7e9ea
a0f775dd99108cb3b76953e25f5cdae4
b841debc5307afc8a4592ea60d64de14
c57de69b401eb58c0aad786531c02c28
ca59e49878bcf2c72b99d15c98323bcd
d07eb2db2621c425bda0f046b736e372
d4be9b2b73e565b1181118cb7f44a102
d9aecc9d4bf1d4b39aa551f3a1bcc6b7
e9bed47953986f90e814ed5ed25b010c
0bc94bc4bc4d69705e4f08aaf0e976b3
1276480838340dcbc699d1f32f30a5e9
15fb99660dbd52d66f074eaa4cf1366d
2dca15e9e83bca37817f46b24b00d197
350313656502388947c7cbcd08dc5a95
3e36ffda0a946009cb9059b69c6a6f0d
5b0726d66422f76d8ba4fbb9765c68f6
68b64bf1dea3eb314ce273923b8df510
9195454da9e2cb22a3d58dbbf7982be8
a4a6ff86413b3b2a893627c4cff34399
b163fa76bde53cd80d727d88b7b1d94f
ba0a349f177ffb3e398f8c780d911580
bba23f4b66a0e07f837f2832a8cd3bd4
d6ebc5526e957866c02c938fc01349ee
ec7ab99beb846eec4ecee232ac0b3246
ef119626a3b07f46386e65de312cf151
fcaeadbee39fddc907a3ae0315d86178
