Un nuovo pericoloso malware si sta facendo strada su Android: denominato Keenadu, secondo quanto riportato da Kaspersky può essere preinstallato direttamente nei firmware dei dispositivi, incorporato nelle app di sistema o scaricato da alcune applicazioni del Google Play Store e di altri app store. Viene attualmente sfruttato per frodi pubblicitarie: scopriamolo più da vicino.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Keenadu può infettare in tre modi e prendere il controllo del dispositivo Android
Kaspersky ha rilevato un nuovo malware per dispositivi Android, denominato Keenadu. Secondo quanto riferito, gli aggressori possono sfruttare i dispositivi infetti come bot per generare clic sui link degli annunci: attualmente viene dunque utilizzato per frodi pubblicitarie, ma potrebbe essere impiegato anche per scopi più dannosi, visto che alcune sue varianti consentono persino il controllo completo del dispositivo della vittima.
La soluzioni di sicurezza Kaspersky hanno rilevato più di 13.000 dispositivi infettati da Keenadu: il maggior numero di utenti colpiti è stato riscontrato in Russia, Giappone, Germania, Brasile e Paesi Bassi, ma sono coinvolti diversi altri Paesi, tra cui proprio l’Italia.
In modo simile alla backdoor Triada, alcune versioni di questo nuovo malware vengono addirittura integrate nel firmware di diversi modelli di tablet Android durante la catena di approvvigionamento. Sfruttando la backdoor di Keenadu, i malintenzionati possono avere il controllo del dispositivo: il malware può infettare tutte le applicazioni, installare qualsiasi app tramite APK e concedere tutte le autorizzazioni, e di conseguenza può avere accesso a tutte le informazioni presenti, tra file multimediali, messaggi, credenziali, posizione e altri dati sensibili; in più, può monitorare le query di ricerca nel browser, pure in modalità di navigazione in incognito.
Secondo quanto riferito da Kaspersky, il malware ha un comportamento curioso e agisce in modo diverso in base ad alcuni fattori: ad esempio, non si attiva se la lingua impostata sul dispositivo è uno dei dialetti cinesi e l’orario e configurato su uno dei fusi orari della Cina, e non si avvia se non sono installati Google Play Store e Google Play Services.
Nella variante integrata nelle app di sistema, le funzionalità di Keenadu risultano più limitate, ma comunque pericolose: in questo caso non può infatti infettare tutte le app installate, ma gode comunque di privilegi elevati rispetto alle normali app e può installare app secondarie senza che l’utente se ne accorga. La nota azienda di sicurezza informatica ha scovato il malware in un’app di sistema responsabile dello sblocco del dispositivo tramite riconoscimento facciale: questo consentirebbe agli aggressori di acquisire i dati facciali della vittima.
Come anticipato, il malware è stato individuato anche all’interno di alcune applicazioni distribuite sul Google Play Store (ora rimosse, fortunatamente). Si trattava perlopiù di app dedicate alle telecamere di sicurezza domestiche, scaricate oltre 300.000 volte: quando vengono avviate, i malintenzionati possono aprire schede invisibili del browser al loro interno, navigando su diversi siti web senza che l’utente ne sia consapevole. Le ricerche hanno dimostrato che app simili vengono distribuite anche tramite file APK autonomi o attraverso altri app store. Ecco alcuni esempi di app rimosse dal Play Store.
“Come dimostrato dalla nostra recente ricerca, il malware preinstallato rappresenta un problema urgente su diversi dispositivi Android“, ha commentato Dmitry Kalinin, ricercatore di sicurezza di Kaspersky. “Senza alcuna azione da parte dell’utente, un device può risultare infetto fin dal momento dell’acquisto. È fondamentale che gli utenti comprendano questo rischio e utilizzino soluzioni di sicurezza in grado di rilevare questo tipo di malware. Probabilmente i fornitori non erano a conoscenza della compromissione della catena di approvvigionamento che ha consentito a Keenadu di infiltrarsi nei dispositivi, poiché il malware imitava componenti di sistema legittimi. È quindi essenziale controllare ogni fase del processo produttivo per garantire che il firmware del dispositivo non sia infetto“.
Per ulteriori informazioni è possibile consultare il report completo.