top of page

Tablets Android já vêm com backdoor instalado no sistema

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 33 minutos
  • 3 min de leitura

Uma nova ameaça avançada está chamando atenção da comunidade de segurança: o backdoor Keenadu, embutido diretamente no firmware de tablets Android e distribuído inclusive por meio de atualizações OTA (Over-The-Air) assinadas digitalmente.


A descoberta foi feita pela Kaspersky, que identificou o malware presente no firmware de dispositivos associados a diferentes marcas, incluindo o modelo Alldocube iPlay 50 mini Pro, com registros da infecção datando de agosto de 2023. Em todos os casos analisados, o firmware comprometido possuía assinatura digital válida o que torna o ataque ainda mais preocupante, pois compromete a confiança no processo de atualização oficial do sistema.


A infecção ocorreu durante a fase de construção do firmware, ou seja, antes mesmo de os dispositivos chegarem às mãos dos usuários. Em alguns casos, o firmware comprometido foi entregue via atualização OTA legítima.


O Keenadu está incorporado dentro da biblioteca crítica libandroid_runtime.so, carregada durante o boot do sistema. Após a inicialização, o malware é injetado no processo Zygote, responsável por iniciar todos os aplicativos no Android. Como consequência, uma cópia do backdoor é carregada no espaço de memória de cada aplicativo executado no dispositivo.

Na prática, isso significa que o malware opera dentro do contexto de todos os apps, tornando o sandbox do Android praticamente ineficaz.


O Keenadu funciona como um loader multiestágio, composto por dois principais componentes:


  • AKServer: núcleo do malware, responsável pela lógica principal e comunicação com o servidor de comando e controle (C2);

  • AKClient: injetado em cada aplicativo iniciado, atuando como ponte para interação com o AKServer.


Essa arquitetura permite que o malware entregue cargas maliciosas personalizadas para aplicativos específicos, conceda ou revogue permissões arbitrárias, obtenha localização do dispositivo e exfiltre informações sensíveis.


O malware também inclui mecanismos sofisticados de evasão, como:


  • Encerramento automático caso o idioma do sistema seja chinês e o fuso horário esteja na China;

  • Interrupção da execução se Google Play ou Google Play Services não estiverem presentes;

  • Delay de 2,5 meses antes de liberar cargas maliciosas, dificultando análises em sandbox;

  • Uso da Alibaba Cloud como CDN para distribuição de payloads.


Principais módulos maliciosos identificados


Entre os módulos associados ao Keenadu estão:


  • Google Chrome Module: sequestra buscas e redireciona para motores alternativos;

  • Clicker Loader: interage furtivamente com anúncios em YouTube, Facebook e outros apps;

  • Install Monetization: simula instalações legítimas para fraudes publicitárias;

  • Nova Clicker (Phantom): usa machine learning e WebRTC para manipular anúncios;

  • Google Play Module: coleta ID de publicidade para rastreamento da vítima.


Embora o foco atual pareça ser fraude publicitária e monetização indevida, especialistas alertam que a estrutura do malware permite evolução para roubo de credenciais e espionagem.


Alcance global e possível conexão com outras botnets


Dados de telemetria indicam que ao menos 13.715 usuários foram impactados, com maior concentração na Rússia, Japão, Alemanha, Brasil e Holanda.


Há indícios de conexão entre Keenadu e outras ameaças como Triada, BADBOX, Dwphon e Vo1d, sugerindo interação entre diferentes botnets e um ecossistema coordenado.


Além disso, três aplicativos distribuídos na Google Play foram identificados como vetores de propagação:


  • Eoolii

  • Ziicam

  • Eyeplus


O Google confirmou a remoção desses aplicativos e informou que usuários estão protegidos contra versões conhecidas da ameaça por meio do Google Play Protect, desde que o dispositivo seja certificado.


O Keenadu representa um dos cenários mais críticos em segurança móvel: malware pré-instalado no firmware, operando com privilégios máximos e capaz de ignorar o modelo tradicional de permissões do Android.


Ao estar embutido na biblioteca central do sistema, o backdoor:


  • Ganha acesso invisível a todos os dados do dispositivo;

  • Neutraliza o isolamento entre aplicativos;

  • Permite controle remoto irrestrito.


Segundo análise técnica, os desenvolvedores do Keenadu demonstram profundo conhecimento da arquitetura do Android e de seus mecanismos internos de segurança.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page