Keenadu Malware: Una amenaza a nivel de firmware, con fines económicos relacionados con la fraude publicitaria.

Keenadu es una herramienta de tipo “backdoor” a nivel de firmware, que permite a sus operadores tener un control total y remoto sobre los dispositivos infectados. Se integra profundamente en el sistema Android.libandroid_runtime.soSe trata de una biblioteca que se carga durante el arranque del sistema. Esto permite que el malware pueda ser inyectado en el proceso Zygote, el proceso principal que genera todas las aplicaciones en el dispositivo. Una vez activado, un componente cliente se carga en el espacio de direcciones de cada aplicación al iniciarse ésta, creando así una presencia persistente y discreta del malware.

El malware se distribuye a través de dos canales principales: el firmware preinstalado y las actualizaciones OTA. Los investigadores de seguridad han encontrado este malware en versiones del firmware de marcas como Alldocube. Algunos problemas de seguridad ocurren durante la fase de desarrollo del firmware. La presencia del backdoor también se disimula, ya que los archivos de firmware contienen firmas digitales válidas. El malware también se distribuye a través de tiendas de aplicaciones oficiales, donde se descargan aplicaciones falsas disfrazadas de cámaras inteligentes.300,000 vecesAntes de la remoción.

Su método técnico principal consiste en conectarse al proceso maestro de Zygote, para así poder cargar contenido en todas las aplicaciones. Esta arquitectura permite un modelo cliente-servidor, donde un componente central llamado AKServer en el dispositivo se comunica con un servidor de control y comando. El servidor puede enviar archivos maliciosos a ciertas aplicaciones, lo que permite llevar a cabo acciones específicas, como manipular las búsquedas del navegador o obtener beneficios económicos a partir de la instalación de aplicaciones. Este esquema es característico de los botnets avanzados en Android. Además, hay pruebas que relacionan a Keenadu con redes importantes como BadBox.

Escala y monetización: el modelo de negocio de la publicidad fraudulenta

El alcance de la amenaza es cuantificable. Los productos de seguridad de Kaspersky han detectado infecciones de tipo Keenadu en aproximadamente…13,000 dispositivosLas concentraciones más altas de este malware se encuentran en Rusia, Japón, Alemania, Brasil y los Países Bajos. Esta amenaza se ve reforzada por su método de distribución: el malware se instala previamente en las tabletas de marcas como Alldocube. Esto significa que los dispositivos ya están comprometidos antes de llegar a los consumidores. La persistencia del malware se garantiza gracias a su integración directa en las herramientas críticas del sistema, lo que lo hace inmune a las herramientas de seguridad estándar de Android.

El principal factor económico que impulsa esta actividad es la publicidad engañosa. Los módulos principales de Keenadu están diseñados para secuestrar los motores de búsqueda de los navegadores y hacer que los usuarios hagan clic automáticamente en los anuncios. Esto genera ingresos fraudulentos para quienes desarrollan este tipo de malware. La arquitectura del malware permite que el cliente se instale en el espacio de direcciones de cada aplicación, lo que constituye un medio ideal para llevar a cabo esta actividad. Además, permite monitorear y manipular las interacciones de los usuarios con los componentes de publicidad en todo el ecosistema de dispositivos.

Más allá de los simples clics en anuncios, el malware permite la implementación de técnicas de monetización más sofisticadas. Puede monitorear la instalación de nuevas aplicaciones y agregar artículos a los carritos de compra sin el consentimiento del usuario. Estas acciones pueden utilizarse para manipular las métricas de instalación de aplicaciones con fines fraudulentos o para generar ingresos a partir de compras no autorizadas. Todo este proceso parece estar integrado en un ecosistema de botnets más grande, con vínculos a redes importantes como BadBox. Esto sugiere que se trata de una campaña coordinada a gran escala, basada en la fraude publicitaria.

Impacto y mitigación: Riesgos en la cadena de suministro y exposición de los usuarios

El impacto financiero y operativo de Keenadu es grave, ya que está integrado en el firmware del dispositivo. Las herramientas de seguridad estándar de Android no pueden eliminarlo; por lo tanto, la solución más común es reemplazar el dispositivo afectado. Esto conlleva costos directos para los consumidores y las empresas, quienes deben descartar el hardware dañado. La instalación previa del malware significa que los dispositivos se vuelven vulnerables antes de llegar al usuario, lo que convierte cada tableta infectada en un potencial vector para la sustracción de datos y el acceso no autorizado.

Se trata de un ataque clásico en la cadena de suministro. Hay evidencia que indica que el malware fue insertado durante la fase de desarrollo del firmware. El malware se encontró en tabletas de marcas como Alldocube. Además, las actualizaciones posteriores del firmware de los modelos afectados continuaron siendo infectadas. Esto compromete la integridad de toda la cadena de producción, ya que los proveedores podrían no haber sido conscientes de que sus dispositivos estaban infectados. El resultado es un riesgo de exposición de datos a nivel empresarial; un solo dispositivo infectado puede servir como punto de apoyo para los atacantes.

Para lograr medidas de mitigación efectivas, es necesario adoptar un enfoque multifacético. Las organizaciones deben implementar procedimientos rigurosos para verificar las aplicaciones y realizar comprobaciones periódicas de la integridad de los dispositivos, con el objetivo de detectar cualquier anomalía. La educación del usuario también es crucial; se debe enfatizar sobre los peligros que implica descargar aplicaciones desde fuentes no oficiales. En cuanto a la seguridad de la cadena de suministro, es necesario imponer controles más estrictos en relación con la integridad del firmware en todas las etapas de producción. La amenaza que representa el malware móvil demuestra que este es ahora un riesgo sistémico para la fabricación de dispositivos.