تم الكشف عن أن عددًا من الأجهزة اللوحية التي تعمل بنظام Android تحتوي على باب خلفي على مستوى البرامج الثابتة "Keenadu"، ويشتبه في أن سلسلة التوريد قد تعرضت للاختراق.

وفقًا لمورد الأمن Kaspersky، أثناء تتبع حصان طروادة Trojan Triada، والذي تم اكتشافه سابقًا أنه تم تثبيته مسبقًا على أجهزة Android منخفضة السعر، اكتشف أيضًا بابًا خلفيًا على مستوى البرامج الثابتة يسمى "Keenadu" والذي أصاب عددًا كبيرًا من الأجهزة في جميع أنحاء العالم وهو مصمم للتشغيل عميقًا في الطبقة السفلية من نظام Android دون علم المستخدم.

قال Kaspersky إن Keenadu يظهر في البرامج الثابتة للعديد من العلامات التجارية (غير المسماة في الغالب) لأجهزة Android اللوحية، وطريقة زرعه مشابهة لـ Triada: أثناء مرحلة إنشاء البرامج الثابتة الثنائية، ترتبط المكتبة الثابتة الضارة بهدوء بمكتبة النظام libandroid_runtime.so، وبالتالي يتم إكمال "المضمن مسبقًا" قبل مغادرة الجهاز للمصنع. بعد بدء تشغيل الجهاز، سيتم حقن المكتبة الضارة في عملية Zygote؛ نظرًا لأن Zygote هي عملية "الجذر" الرئيسية في نظام Android لاحتضان عمليات النظام والتطبيقات اللاحقة، فيمكن تشغيل الباب الخلفي جنبًا إلى جنب مع التطبيقات المختلفة التي يطلقها المستخدم أو النظام، مما يحقق استمرارًا أعمق وأوسع.

يعتمد الباب الخلفي على بنية متعددة المراحل، مما يسمح للمشغل بالتحكم عن بعد في الجهاز المصاب بتحكم "غير مقيد تقريبًا"، ويمكنه تسليم حمولات ضارة مختلفة لأداء مهام متعددة. ومن بين القدرات المرصودة، يمكن التلاعب بالحمولة النافعة بمحركات بحث المتصفح، وتحقيق الدخل من خلال الترويج لعمليات تثبيت التطبيقات الجديدة، وإجراء المزيد من التفاعلات الإعلانية السرية، وما إلى ذلك. وفي الوقت نفسه، وجد الباحثون أيضًا أن آثارها ظهرت في التطبيقات الموزعة من خلال Google Play، وXiaomi GetApps، ومستودعات تطبيقات الطرف الثالث.

وبقدر ما يتعلق الأمر بالمصدر، صرحت شركة Kaspersky بأنها غير قادرة حاليًا على تحديد نقطة الإصدار الأولية. السيناريو الأكثر ترجيحًا هو أن المهاجمين قاموا بعمليات اقتحام في المراحل الرئيسية لسلسلة التوريد للعديد من أجهزة Android اللوحية، مما سمح بكتابة المكتبة الضارة في البرامج الثابتة قبل وصول المنتجات إلى السوق. تتبع التحقيق أيضًا أدلة تعود إلى الشركة المصنعة للأجهزة اللوحية Alldocube: ستصدر الشركة المصنعة أرشيفات البرامج الثابتة علنًا لمراجعة الأمان، واستخدمت Kaspersky هذه المعلومات لإجراء مزيد من تحليل الارتباط.

وفقًا لبيانات القياس عن بعد من Kaspersky، تأثر إجمالي 13,715 مستخدمًا حول العالم ببرنامج Keenadu وإحدى وحداته الضارة. وتشمل الدول ذات الإصابات المركزة روسيا واليابان وألمانيا والبرازيل وهولندا. أصدر Kaspersky حاليًا تحذيرًا مبكرًا للشركات المصنعة ذات الصلة وأوصى بأن يقوم المستخدمون بتثبيت تحديثات أمان Android في أقرب وقت ممكن بعد قيام الشركات المصنعة بدفع التصحيحات؛ وقد سلط الحادث الضوء مرة أخرى على أن المهاجمين يستغلون في كثير من الأحيان تعقيد البنية الأساسية وآليات الأمان لنظام Android لنقل القدرات الضارة إلى مستويات النظام التي يصعب اكتشافها وإزالتها.