详细内容或原文请订阅后点击阅览
Keenadu 后门被发现预装在 Android 设备上,为广告欺诈活动提供动力
卡巴斯基发现了 Keenadu,这是一个用于广告欺诈的 Android 后门,甚至可以完全控制设备。卡巴斯基发现了一种名为 Keenadu 的新 Android 恶意软件。它可以预装在设备固件中、隐藏在系统应用程序中,甚至可以通过 Google Play 等官方商店分发。目前用于通过感染来进行广告欺诈 [...]
来源:Security Affairs _恶意软件Keenadu 后门被发现预装在 Android 设备上,为广告欺诈活动提供动力
卡巴斯基发现了 Keenadu,这是一个用于广告欺诈的 Android 后门,甚至可以完全控制设备。
卡巴斯基发现了一种名为 Keenadu 的新 Android 恶意软件。它可以预装在设备固件中、隐藏在系统应用程序中,甚至可以通过 Google Play 等官方商店分发。目前,通过将受感染的手机变成点击机器人来进行广告欺诈,一些变体还允许攻击者获得对受感染设备的完全远程控制。
在发现假冒 Android 固件中的 Triada 后门后,研究人员发现了另一个名为 Keenadu 的固件级威胁。与 Triada 一样,Keenadu 在构建过程中将自身嵌入到系统中,注入到 Zygote 进程中,并感染设备上启动的每个应用程序。它充当多级加载程序,可实现完全远程控制、广告欺诈、凭证盗窃和恶意有效负载传送。
研究人员报告称,一些受感染的固件甚至通过 OTA 更新推送并内置到核心系统应用程序中。调查人员还将 Keenadu 与主要 Android 僵尸网络联系起来,包括 Triada、BADBOX 和 Vo1d。
研究人员发现 Keenadu 嵌入在 Android 的核心库 libandroid_runtime.so 中,充当隐藏的植入程序。修改后的日志记录功能解密了 RC4 加密的有效负载,并通过 Zygote 进程将其加载到每个应用程序中。恶意代码使用名为 AKClient 和 AKServer 的客户端-服务器设置。
这种设计让攻击者可以绕过 Android 权限、授予应用程序特殊权限、窃取数据、安装额外插件以及连接到加密的命令和控制服务器。该恶意软件还避免感染设置为中文的设备或未安装 Google 服务的设备。
其他模块通过应用程序安装获利、收集设备数据、检索广告 ID,并可能部署间谍软件或其他植入程序。一些受害者报告称,平板电脑在他们不知情的情况下添加了购物车商品。