Kaspersky a identificat backdoor-ul „Keenadu” în firmware-ul unor tablete, inclusiv Alldocube iPlay 50 mini Pro, iar infecția pare legată de un compromis pe lanțul de aprovizionare.
Ce este Keenadu și de ce contează
Un nou caz de „malware din fabrică” (sau din lanțul de distribuție) ridică din nou întrebarea incomodă: cât de sigur e un dispozitiv Android ieftin, cumpărat de la un brand puțin cunoscut?
Kaspersky spune că a descoperit Keenadu, un backdoor Android care a fost găsit preinstalat pe mai multe modele de tablete. În Europa, compania a raportat peste 13.000 de dispozitive detectate, cu cazuri semnalate și în Japonia, Brazilia și alte regiuni.
Particularitatea gravă: în unele situații, Keenadu apare în firmware (adică în componentele de sistem ale tabletei), semn că infecția a fost introdusă înainte ca dispozitivul să ajungă la utilizator — un tipar asociat atacurilor asupra lanțului de aprovizionare.
Cum ajunge un backdoor în firmware
Analiza tehnică publicată de Securelist (Kaspersky) descrie un scenariu în care o bibliotecă statică malițioasă este legată în libandroid_runtime.so, iar apoi compromite procesul Zygote (practic, un punct central din care pornesc aplicațiile Android). În unele cazuri, firmware-ul malițios ar fi ajuns și prin actualizări OTA.
Consecința e simplă și dură: dacă un backdoor rulează în contextul fiecărei aplicații, ideea de „izolare” între aplicații (un principiu de bază…
