un approfondimento sintetico e mirato sull’emergere di una backdoor a livello firmware che si è mostrata preinstallata su alcuni tablet android prima della vendita. la scoperta, attribuita a una compromissione della catena di fornitura, evidenzia un livello di accesso molto più ampio rispetto alle comuni minacce provenienti da app dannose. l’analisi descrive come Keenadu operi a livello di sistema e quali dispositivi siano stati coinvolti, con indicazioni pratiche per l’aggiornamento e la mitigazione.
keenadu: backdoor a livello firmware su tablet android
la scoperta riguarda una nuova backdoor denominata Keenadu, integrata nel firmware di alcuni tablet prima della messa in commercio. secondo gli esperti, l’infezione non avviene post-acquisto ma è presente fin dalla costruzione software, rendendo l’aggiornamento meno efficace se la versione compromessa resta in circolazione. la presenza della backdoor è stata confermata in diversi modelli di tablet di produttori minori.
funzionamento e impatti sul sistema
una volta attiva, Keenadu si aggancia al processo Zygote, un componente centrale di Android che avvia le applicazioni. tale integrazione conferisce agli aggressori una visibilità e un controllo estesi sull’insieme delle app e dei dati presenti sul dispositivo. tra le capacità riportate figurano il download di moduli aggiuntivi in grado di ridirezionare ricerche nel browser, monitorare l’installazione di applicazioni per scopi di profitto e interagire con elementi pubblicitari.
- ridirezionamento delle ricerche nel browser
- tracciamento dell’installazione di app per finalize profitto
- interazioni con annunci e elementi promozionali
dispositivi interessati e esempi concreti
un esempio verificato riguarda il modello Alldocube iPlay 50 mini Pro. in tutte le versioni esaminate è stata riscontrata la presenza della backdoor, inclusi firmware rilasciati successivamente alle segnalazioni di malware. le immagini del firmware presentavano firme digitali valide, il che indica che il problema non deriva da una manomissione esterna agli aggiornamenti, bensì da una compromissione lungo la catena di sviluppo o creazione del software.
diffusione, impatti e riferimenti
secondo i ricercatori di Kaspersky, circa 13.715 utenti in tutto il mondo sono stati esposti a Keenadu o ai suoi moduli. i paesi con i numeri più alti includono la Russia, il Giappone, la Germania, il Brasile e i Paesi Bassi. la minaccia risulta collegata ad altre famiglie di botnet Android note, quali Triada, BadBox e Vo1d.
misure di mitigazione e stato attuale
non si tratta di una problematica estesa ai principali marchi di punta, ma riguarda produttori meno noti. la maggior parte dei fornitori è stata avvertita e sono in corso aggiornamenti del firmware per rimuovere la backdoor. si raccomanda agli utenti di verificare la disponibilità di aggiornamenti e di applicarli tempestivamente non appena resi disponibili dai fornitori.
Lascia un commento