Μια νέα έκθεση από ειδικούς κυβερνοασφάλειας της Sophos προειδοποιεί ότι δεκάδες μοντέλα οικονομικών συσκευών Android αποστέλλονται στους καταναλωτές με προεγκατεστημένο κακόβουλο λογισμικό σε επίπεδο υλικολογισμικού (firmware).
Οι μολύνσεις έχουν εντοπιστεί σε 50 διαφορετικά μοντέλα και σε 40 χώρες παγκοσμίως, εγείροντας σοβαρά ερωτήματα για την ασφάλεια της εφοδιαστικής αλυσίδας. Το συγκεκριμένο backdoor, γνωστό ως Keenadu, δίνει στους επιτιθέμενους τον πλήρη έλεγχο των μολυσμένων συσκευών, στοχεύοντας κυρίως tablet χαμηλού κόστους.
Η προέλευση και ο τρόπος δράσης του Keenadu
Σύμφωνα με την ανάλυση της Sophos, ο κώδικας του Keenadu βρίσκεται σε μια στατική βιβλιοθήκη της συσκευής και μεταμφιέζεται σε νόμιμο κώδικα της MediaTek για να αποφύγει τον εντοπισμό. Ενδιαφέρον προκαλεί το γεγονός ότι το κακόβουλο λογισμικό φαίνεται να έχει κινεζική προέλευση, καθώς παραμένει ανενεργό εάν η συσκευή είναι ρυθμισμένη σε οποιαδήποτε κινεζική διάλεκτο ή αν η ώρα είναι ρυθμισμένη σε ζώνη ώρας της Κίνας.
Οι ειδικοί της Kaspersky προειδοποιούν ότι το Keenadu μπορεί να μολύνει κάθε εγκατεστημένη εφαρμογή, να εγκαθιστά νέα αρχεία APK και να παραχωρεί στον εαυτό του όλες τις διαθέσιμες άδειες πρόσβασης. Αυτό σημαίνει ότι ένας εισβολέας μπορεί να υποκλέψει προσωπικά δεδομένα, μηνύματα, φωτογραφίες, ακόμη και τραπεζικά διαπιστευτήρια.
Απάτες μέσω διαφημίσεων και κίνδυνοι για τους χρήστες
Παρά τις δυνατότητες πλήρους παραβίασης, τα τρέχοντα δεδομένα της Sophos δείχνουν ότι το Keenadu χρησιμοποιείται κυρίως για τη διάπραξη διαφημιστικής απάτης. Το λογισμικό στοχεύει γνωστές πλατφόρμες όπως το Amazon, το Shein και το Temu, ενώ χρησιμοποιεί «clicker modules» σε εφαρμογές όπως το YouTube και το Facebook. Αυτά τα υποσυστήματα πραγματοποιούν αθόρυβα συνδέσεις σε ιστότοπους στο παρασκήνιο για να δημιουργήσουν έσοδα από διαφημίσεις μέσω ψεύτικων κλικ.
Το φαινόμενο αυτό υπενθυμίζει ότι το κακόβουλο λογισμικό στα κινητά δεν περιορίζεται πλέον σε «κακές εφαρμογές», αλλά αποτελεί πρόβλημα ακεραιότητας του υλικολογισμικού. Οι χιλιάδες επιβεβαιωμένες μολύνσεις παγκοσμίως δείχνουν ότι ο αντίκτυπος μπορεί να κυμανθεί από απλή διαφημιστική απάτη μέχρι πλήρη κατάρρευση της ασφάλειας των εταιρικών δικτύων.
Συστάσεις για την προστασία των καταναλωτών
Η Google δήλωσε ότι οι χρήστες προστατεύονται αυτόματα από γνωστές εκδόσεις του Keenadu μέσω του Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή. Ωστόσο, η Sophos συνιστά στους κατόχους επηρεασμένων μοντέλων να εγκαταστήσουν άμεσα οποιαδήποτε ενημέρωση υλικολογισμικού κυκλοφορήσει από τον κατασκευαστή. Μέχρι να γίνει αυτό, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο περιορισμού της πρόσβασης αυτών των συσκευών στα εταιρικά τους δίκτυα.
