보안 업체 카스퍼스키(Kaspersky)에 따르면, 이전에 저가형 안드로이드 기기에 사전 설치되어 있던 것으로 밝혀진 트로이목마 트리아다(Trojan Triada)를 추적하던 중, 전 세계적으로 수많은 기기를 감염시켰으며 사용자 모르게 안드로이드 시스템의 하위 레이어 깊숙이 침투하도록 설계된 '키나두(Keenadu)'라는 펌웨어 레벨 백도어를 추가로 발견했다.
Kaspersky는 Keenadu가 많은(대부분 이름이 지정되지 않은) Android 태블릿 브랜드의 펌웨어에 나타나고 이식 방법이 Triada와 유사하다고 밝혔습니다. 즉, 펌웨어 바이너리 구성 단계에서 악성 정적 라이브러리가 조용히 시스템 라이브러리 libandroid_runtime.so와 연결되어 장치가 공장에서 출고되기 전에 "사전 내장"이 완료됩니다. 장치가 시작된 후 악성 라이브러리가 Zygote 프로세스에 주입됩니다. Zygote는 후속 시스템 및 애플리케이션 프로세스를 배양하는 Android 시스템의 핵심 "루트" 프로세스이기 때문에 백도어는 사용자 또는 시스템이 시작한 다양한 애플리케이션과 함께 실행되어 더 깊고 넓은 지속성을 달성할 수 있습니다.
백도어는 다단계 아키텍처를 채택하여 운영자가 "거의 무제한" 제어로 감염된 장치를 원격으로 제어할 수 있으며 다양한 악성 페이로드를 전달하여 여러 작업을 수행할 수 있습니다. 관찰된 기능 중 페이로드는 브라우저 검색 엔진을 조작하고, 새로운 애플리케이션 설치를 홍보하여 수익을 창출하고, 더 많은 은밀한 광고 상호 작용을 수행하는 등의 작업을 수행할 수 있습니다. 동시에 연구원들은 Google Play, Xiaomi GetApps 및 타사 애플리케이션 웨어하우스를 통해 배포되는 애플리케이션에도 해당 흔적이 나타나는 것을 발견했습니다.
소스에 관한 한 Kaspersky는 현재 초기 릴리스 지점을 결정할 수 없다고 밝혔습니다. 더 가능성 있는 시나리오는 공격자가 여러 Android 태블릿 공급망의 주요 단계에 침입하여 제품이 시장에 출시되기 전에 악성 라이브러리가 펌웨어에 기록될 수 있다는 것입니다. 또한 조사에서는 태블릿 제조업체 Alldocube에 대한 단서를 추적했습니다. 제조업체는 보안 검토를 위해 펌웨어 아카이브를 공개적으로 공개했으며 Kaspersky는 이 정보를 사용하여 상관 관계 분석을 추가로 수행했습니다.
Kaspersky 원격 측정 데이터에 따르면 전 세계적으로 총 13,715명의 사용자가 Keenadu와 해당 악성 모듈 중 하나의 영향을 받았습니다. 감염이 집중된 국가로는 러시아, 일본, 독일, 브라질, 네덜란드 등이 있다. Kaspersky는 현재 관련 제조업체에 조기 경고를 발령했으며 제조업체가 패치를 푸시한 후 최대한 빨리 Android 보안 업데이트를 설치할 것을 사용자에게 권장했습니다. 이 사건은 공격자가 Android의 핵심 아키텍처와 보안 메커니즘의 복잡성을 이용하여 악성 기능을 탐지 및 제거하기 더 어려운 시스템 수준으로 이동시키는 경우가 더 많다는 사실을 다시 한 번 강조했습니다.