Source : Kaspersky (Securelist) — Dans une publication de recherche, les analystes détaillent « Keenadu », un nouveau backdoor Android intégré à la chaîne d’approvisionnement du firmware, capable de s’injecter dans tous les processus via Zygote et d’offrir un contrôle quasi illimité des appareils infectés. L’étude couvre l’architecture, les charges utiles, les vecteurs de distribution (firmware, apps système et stores), et des liens avec d’autres botnets Android majeurs.

• Vecteur et mécanisme d’infection. Keenadu est intégré durant la phase de build du firmware via une bibliothèque statique malveillante liée à libandroid_runtime.so, parfois livrée via mises à jour OTA signées. À l’exécution, il s’injecte dans Zygote et opère dans chaque application, rendant le sandboxing caduc. Il implémente une architecture client-serveur binder (AKClient/AKServer) au sein de system_server, avec des interfaces permettant de donner/révoquer des permissions, de collecter la géolocalisation et d’exfiltrer des données de l’appareil. Un kill switch est présent (fichiers spécifiques, détection langue/zone chinoises, absence de Google Play/Services). Les communications et charges sont chiffrées (RC4/AES‑CFB, signature DSA, MD5) et chargées via DexClassLoader.

• Capacités et charges utiles (ad fraud et espionnage). Les modules interceptés montrent : 1) un loader ciblant des apps de e‑commerce (Amazon, SHEIN, Temu) pour exfiltration et distribution de modules/APK; 2) des « clickers » injectés (Wallpaper, YouTube, Facebook, Wellbeing, Launcher) pour interactions furtives avec pubs; 3) un module Chrome qui détourne les recherches (saisie url_bar et suggestions), exfiltre les requêtes et redirige le moteur; 4) un module de monétisation d’installations simulant des clics/tracking à l’issue des sessions d’installation; 5) le clicker « Nova/Phantom » (ML + WebRTC) pour fraude publicitaire; 6) un module Google Play récupérant l’ID publicitaire pour lier les campagnes. Le C2 peut retarder la livraison (jusqu’à 2,5 mois) pour réduire la détection.

• Distribution élargie. Au‑delà du firmware (p. ex. tablettes Alldocube, y compris variantes NFE Widevine L1 après versions initiales), des apps système ont été compromises (service reconnaissance faciale, launcher, content center), déclenchant un loader natif (libhshelper.so). Des appli modifiées hors stores officiels et même sur Google Play (apps de caméras intelligentes, >300 000 téléchargements) embarquaient le service lançant Nova; elles ont été retirées après signalement.

• Liens entre botnets et impact. L’analyse révèle des connexions techniques et opérationnelles entre BADBOX et Keenadu (interfaces binder partagées, loaders déposés par BADBOX), ainsi que des recoupements antérieurs entre Triada, Vo1d et BADBOX. Kaspersky a observé 13 715 utilisateurs touchés, avec pics en Russie, Japon, Allemagne, Brésil et Pays‑Bas. L’article conclut que Keenadu est une plateforme de malware préinstallé de grande ampleur, principalement utilisée pour la fraude publicitaire, avec un potentiel d’évolution vers le vol de comptes.

IoCs (extraits) 🧩

  • IP C2 : 67.198.232.4, 67.198.232.187, 110.34.191.81, 110.34.191.82
  • Domaines C2/CDN : keepgo123.com, gsonx.com, fbsimg.com, tmgstatic.com, gbugreport.com, aifacecloud.com, proczone.com, gvvt1.com, dllpgd.click, fbgraph.com, newsroomlabss.com, sliidee.com, gmsstatic.com, ytimg2.com, glogstatic.com, gstatic2.com, uscelluliar.com, playstations.click, ubkt1x.oss-us-west-1.aliyuncs.com, pkgu.istaticfiles.com, app-download.cn-wlcb.ufileos.com
  • Fichiers/charges (MD5, extraits) : 4c4ca7a2a25dbe15a4a39c11cfef2fb2 (loader), 912bc4f756f18049b241934f62bfb06c (module Chrome), f0184f6955479d631ea4b1ea0f38a35d (Nova), ad60f46e724d88af6bcacb8c269ac3c1 (clicker loader), 3dae1f297098fa9d9d4ee0335f0aeed3 (monétisation installeurs), ca98ae7ab25ce144927a46b7fee6bd21 (libVndxUtils.a)
  • Packages ciblés (exemples) : com.amazon.mShop.android.shopping, com.zzkko, com.einnovation.temu, com.android.chrome, com.android.wallpaper, com.android.launcher3, com.facebook.katana, com.google.android.youtube, com.google.android.apps.wellbeing

TTPs (extraits) 🛠️

  • Compromission de la chaîne d’approvisionnement firmware (liaison malveillante à libandroid_runtime.so), livraison via OTA signées
  • Injection Zygote, service binder malveillant (AKServer/AKClient), contournement des permissions
  • Chiffrement RC4/AES‑128‑CFB, signature DSA, vérif MD5, DexClassLoader, délais C2 (2,5 mois)
  • Détournement moteur de recherche Chrome, fraude publicitaire (clickers ML/WebRTC), monétisation d’installations via sessions d’installation
  • Charges et configurations servies depuis Alibaba Cloud OSS; kill‑switch régional/Google Play; exécution dans apps système (face ID, launcher) et apps de stores officiels

Il s’agit d’une publication de recherche dont l’objectif principal est de documenter en profondeur la chaîne d’infection, l’architecture, les capacités, les liens inter‑botnets et de fournir des IoCs.

🧠 TTPs et IOCs détectés

TTP

Compromission de la chaîne d’approvisionnement firmware (liaison malveillante à libandroid_runtime.so), livraison via OTA signées; Injection Zygote, service binder malveillant (AKServer/AKClient), contournement des permissions; Chiffrement RC4/AES-128-CFB, signature DSA, vérif MD5, DexClassLoader, délais C2 (2,5 mois); Détournement moteur de recherche Chrome, fraude publicitaire (clickers ML/WebRTC), monétisation d’installations via sessions d’installation; Charges et configurations servies depuis Alibaba Cloud OSS; kill-switch régional/Google Play; exécution dans apps système (face ID, launcher) et apps de stores officiels

IOC

{‘ip’: [‘67.198.232.4’, ‘67.198.232.187’, ‘110.34.191.81’, ‘110.34.191.82’], ‘domain’: [‘keepgo123.com’, ‘gsonx.com’, ‘fbsimg.com’, ’tmgstatic.com’, ‘gbugreport.com’, ‘aifacecloud.com’, ‘proczone.com’, ‘gvvt1.com’, ‘dllpgd.click’, ‘fbgraph.com’, ’newsroomlabss.com’, ‘sliidee.com’, ‘gmsstatic.com’, ‘ytimg2.com’, ‘glogstatic.com’, ‘gstatic2.com’, ‘uscelluliar.com’, ‘playstations.click’, ‘ubkt1x.oss-us-west-1.aliyuncs.com’, ‘pkgu.istaticfiles.com’, ‘app-download.cn-wlcb.ufileos.com’], ‘hash’: [‘4c4ca7a2a25dbe15a4a39c11cfef2fb2’, ‘912bc4f756f18049b241934f62bfb06c’, ‘f0184f6955479d631ea4b1ea0f38a35d’, ‘ad60f46e724d88af6bcacb8c269ac3c1’, ‘3dae1f297098fa9d9d4ee0335f0aeed3’, ‘ca98ae7ab25ce144927a46b7fee6bd21’]}

🔗 Source originale : https://securelist.com/keenadu-android-backdoor/118913/