Новооткрит зловреден софтуер за Android е бил намерен предварително инсталиран на няколко модела таблети с Android, което му позволява да манипулира всяко мобилно приложение, стартирано на устройството.

Антивирусният доставчик Kaspersky откри зловредния софтуер, наречен Keenadu, който компанията е засякла на над 13 000 устройства в Европа, Япония, Бразилия и други места.

В някои случаи зловредният софтуер е бил открит във фърмуера на таблетите, което показва, че някой от веригата на доставки тайно е заредил зловредния код. „В този вариант Keenadu е напълно функционална софтуерна задна вратичка, която предоставя на атакуващите неограничен контрол над устройството на жертвата“, предупреждава Kaspersky.

Засегнатите таблети са проследени до малко известна китайска марка, наречена Alldocube, която преди това е продавала продукти в Amazon и в момента се намира в AliExpress. Kaspersky първо е проверил фърмуера от 2023 г. на таблета Alldocube iPlay 50 mini Pro и е открил, че той съдържа задната врата Keenadu.

Забележително е, че всички последващи версии на фърмуера за този модел също се оказаха заразени. Това включва версии на фърмуера след като Alldocube разкри през 2024 г., че моделът таблет е бил подложен на „вирусна атака“, която може да предизвика показването на произволни реклами на Google.

Задната врата Keenadu е особено опасна, защото „може да зарази всяко приложение, инсталирано на устройството, да инсталира всякакви приложения от APK (Android Package Kit) файлове и да им даде всички налични разрешения“, казва Kaspersky. „В резултат на това цялата информация на устройството, включително медии, съобщения, банкови данни, местоположение и т.н., може да бъде компрометирана. Зловредният софтуер дори следи търсенията, които потребителят въвежда в браузъра Chrome в режим на инкогнито.“

Изглежда също, че зловредният софтуер може да бъде труден за премахване, тъй като се зарежда от фърмуера на устройството, който съхранява настройките за конфигуриране, необходими за стартиране на хардуера. Въпреки възможностите си, Kaspersky е наблюдавал зловредния софтуер да се занимава само с различни форми на рекламна измама, като атакуващите използват заразени устройства като ботове, за да генерират кликвания върху рекламни линкове.

Доставчикът на антивирусна защита също така откри доказателства, че зловредният софтуер е бил предварително инсталиран на устройства от други производители. Компанията не назовава марките, но заяви, че във всички случаи задната врата е вградена във фърмуера на таблетите и вече е уведомила тези производители за компрометирането на сигурността на устройствата им.

Освен това Keenadu се разпространява чрез предварително инсталирани „системни“ приложения, включително едно, „отговарящо за отключването на устройството с лицето на потребителя“, казва Kaspersky. Зловредният софтуер се е появил и в Google Play Store чрез мобилни приложения на трети страни за смарт камери за дома.

Снимка: Pexels/Kaspersky

Виж още: Използвайки събирани цели 45 години данни, ново проучване проследява откъде идва дъждът