Un nuovo malware, denominato Keenadu, sta emergendo come una minaccia per i dispositivi Android, secondo quanto riportato da Kaspersky. Questo software dannoso può essere preinstallato nel firmware dei dispositivi, integrato nelle app di sistema o scaricato dal Google Play Store e da altri app store. Attualmente, il suo utilizzo principale è legato a frodi pubblicitarie.
I modi in cui Keenadu infetta i dispositivi
Keenadu è in grado di infettare i dispositivi Android in tre modi distinti. Gli aggressori possono usare i dispositivi compromessi per generare clic sui link degli annunci. Inoltre, alcune varianti del malware consentono un controllo completo del dispositivo colpito, permettendo di installare app, accedere a file sensibili e monitorare le attività dell’utente. Finora, gli analisti hanno identificato oltre 13.000 dispositivi infetti, con la maggior parte degli utenti colpiti situati in Russia, Giappone, Germania, Brasile e Paesi Bassi, mentre l’Italia è tra i paesi coinvolti.
Keenadu e la catena di approvvigionamento
In modo simile ad altri malware come Triada, alcune versioni di Keenadu sono integrate nel firmware di alcuni modelli di tablet durante la catena di approvvigionamento. Questa backdoor permette ai malintenzionati di prendere il controllo del dispositivo, infettando app, installando software tramite APK e concedendo permessi ampi, il che mette a rischio i dati personali dell’utente. Il malware osserva un comportamento curioso: non si attiva in dispositivi impostati su lingue e fusi orari cinesi o privi di Google Play Store e Google Play Services.
Azioni limitate, ma pericolose delle app di sistema
La variante di Keenadu integrata nelle app di sistema ha funzionalità più limitate rispetto a quella presente nel firmware, ma rimane comunque pericolosa. Anche senza infettare tutte le app installate, questa versione può installare altre app senza consenso. Kaspersky ha trovato il malware in un’app di sistema responsabile dello sblocco tramite riconoscimento facciale, consentendo l’accesso ai dati biometrici degli utenti.
Keenadu nel Google Play Store
Keenadu è stato individuato anche all’interno di alcune applicazioni distribuite tramite il Google Play Store, poi rimosse. Queste app, principalmente dedicate alla sicurezza domestica, erano state scaricate oltre 300.000 volte. Gli aggressori potevano aprire schede del browser in modo nascosto agli utenti, esplorando siti web senza il loro consenso. App simili sono distribuite anche tramite file APK autonomi o altri app store.
Commento e raccomandazioni di Kaspersky
Dmitry Kalinin, ricercatore di sicurezza presso Kaspersky, sottolinea come “il malware preinstallato rappresenti un problema urgente su diversi dispositivi Android”. Kalinin sottolinea l’importanza della consapevolezza da parte degli utenti e dell’uso di soluzioni di sicurezza per rilevare questo tipo di minacce. È essenziale controllare minuziosamente ogni fase del processo produttivo per garantire che i firmware non siano compromessi.
