Porte dérobée Keenadu
Une porte dérobée sophistiquée pour Android, nommée Keenadu, a été identifiée au cœur du firmware de certains appareils. Elle permet la collecte silencieuse de données et le contrôle à distance des systèmes infectés. Des chercheurs en sécurité ont découvert cette faille dans le firmware de plusieurs fournisseurs, dont Alldocube, et ont constaté que la compromission s'est produite lors de la compilation du firmware. Keenadu était présente dans le firmware de l'Alldocube iPlay 50 mini Pro depuis au moins le 18 août 2023.
Dans tous les cas confirmés, le code malveillant était présent dans des images de firmware de tablettes comportant des signatures numériques valides, ce qui renforce la probabilité d'une compromission de la chaîne d'approvisionnement. Certains firmwares infectés ont été distribués par le biais de mises à jour OTA (Over-The-Air). Une fois installée, la porte dérobée s'injecte dans la mémoire de chaque application au lancement, fonctionnant comme un chargeur multi-étapes qui confère aux attaquants un contrôle total et à distance de l'appareil.
Les données télémétriques indiquent que 13 715 utilisateurs dans le monde ont été exposés à Keenadu ou à ses modules associés. C’est en Russie, au Japon, en Allemagne, au Brésil et aux Pays-Bas que l’on observe la plus forte concentration d’infections.
Table des matières
Manipulation système en profondeur : Exploitation des processus Android fondamentaux
Keenadu a été révélé publiquement fin décembre 2025 et décrit comme une porte dérobée implantée dans libandroid_runtime.so, une bibliothèque partagée essentielle chargée lors du démarrage d'Android. Une fois actif, le malware s'injecte dans le processus Zygote, un comportement déjà observé dans le malware Android Triada.
Le programme malveillant est déclenché par une fonction insérée dans libandroid_runtime.so. Il vérifie d'abord s'il s'exécute au sein d'applications système associées aux services Google ou aux opérateurs mobiles tels que Sprint et T-Mobile ; le cas échéant, son exécution est interrompue. Un mécanisme d'arrêt d'urgence intégré met également fin au logiciel malveillant lorsque des noms de fichiers spécifiques sont détectés dans les répertoires système.
La porte dérobée vérifie ensuite si elle opère au sein du processus privilégié system_server, qui gère les fonctionnalités système essentielles et est lancé par Zygote au démarrage. Selon l'environnement, le logiciel malveillant initialise l'un des deux composants suivants :
- AKServer, qui contient la logique de commande et de contrôle (C2) principale et le moteur d'exécution
- AKClient, qui est injecté dans chaque application lancée et sert de pont de communication avec AKServer
Cette architecture permet aux attaquants d'adapter les charges utiles malveillantes à des applications spécifiques. Le serveur peut accorder ou révoquer les autorisations des applications, récupérer des données de géolocalisation et exfiltrer des informations sur l'appareil. Des mesures de sécurité supplémentaires garantissent l'arrêt du logiciel malveillant si la langue de l'appareil est définie sur le chinois dans le fuseau horaire chinois, ou si le Google Play Store ou les services Google Play sont absents.
Une fois les critères opérationnels remplis, Keenadu déchiffre son adresse C2 et transmet des métadonnées chiffrées de l'appareil. Le serveur répond par une configuration JSON chiffrée détaillant les charges utiles disponibles. Afin d'échapper à la détection et de compliquer l'analyse, la porte dérobée retarde la livraison des charges utiles d'environ deux mois et demi après l'enregistrement initial de l'appareil. Les attaquants utilisent Alibaba Cloud comme infrastructure de diffusion de contenu.
Modules malveillants : monétisation, détournement et fraude publicitaire
Keenadu fonctionne comme une plateforme de logiciels malveillants modulaire capable de déployer divers composants spécialisés. Parmi les modules identifiés, on trouve les suivants :
- Keenadu Loader cible les plateformes de commerce électronique populaires telles qu'Amazon, Shein et Temu, permettant potentiellement la manipulation non autorisée des paniers d'achat.
- Clicker Loader est injecté dans des applications telles que YouTube, Facebook, Google Digital Wellbeing et le lanceur du système Android pour interagir frauduleusement avec les éléments publicitaires.
- Module Google Chrome ciblant Google Chrome pour détourner les requêtes de recherche et les rediriger vers des moteurs de recherche alternatifs, bien que les sélections de saisie automatique puissent parfois perturber la tentative de détournement.
- Nova Clicker, intégré au sélecteur de fond d'écran du système, exploite l'apprentissage automatique et WebRTC pour interagir avec le contenu publicitaire. Ce composant avait été précédemment analysé sous le nom de code Phantom par Doctor Web.
- Installez le module de monétisation, intégré au lanceur système, pour générer des revenus publicitaires frauduleux en attribuant incorrectement les installations d'applications.
- Module Google Play, qui récupère l'identifiant publicitaire Google Ads et le stocke sous la clé « S_GA_ID3 » pour le suivi inter-modules et l'identification des victimes.
Bien que l'accent opérationnel actuel soit mis sur la fraude publicitaire, la flexibilité du cadre présente un potentiel important en matière de vol d'identifiants et d'expansion des opérations malveillantes à l'avenir.
Développement des canaux de distribution et des liens écosystémiques
Outre l'implantation au niveau du firmware, d'autres vecteurs de distribution ont été observés. Le chargeur Keenadu a été intégré à des applications système essentielles telles que les services de reconnaissance faciale et les lanceurs d'applications. Des tactiques similaires avaient été précédemment associées à Dwphon, qui ciblait les mécanismes de mise à jour OTA.
Une autre méthode observée consiste à opérer au sein de systèmes déjà compromis par une porte dérobée préinstallée similaire à BADBOX. Des similitudes d'infrastructure ont également été identifiées entre Triada et BADBOX, suggérant une collaboration entre ces botnets. En mars 2025, de nouveaux liens sont apparus entre BADBOX et Vo1d, qui ciblait des téléviseurs Android de marques non officielles.
Keenadu a également été distribué via des applications de caméras intelligentes infectées par un cheval de Troie, publiées sur Google Play par Hangzhou Denghong Technology Co., Ltd. Les applications concernées étaient les suivantes :
- Eoolii (com.taismart.global) – plus de 100 000 téléchargements
- Ziicam (com.ziicam.aws) – plus de 100 000 téléchargements
- Eyeplus – Votre maison vue par vos yeux (com.closeli.eyeplus) – plus de 100 000 téléchargements
Ces applications ont depuis été retirées de Google Play. Des versions équivalentes ont également été publiées sur l'App Store d'Apple ; cependant, les versions iOS ne contenaient pas de code malveillant, ce qui confirme que Keenadu est spécifiquement conçu pour cibler les tablettes Android.
Implications en matière de sécurité : une menace pour le modèle de confiance fondamental d’Android
Keenadu représente une menace sérieuse du fait de son intégration à libandroid_runtime.so, lui permettant de fonctionner dans le contexte de chaque application. Ceci compromet le modèle de sandbox d'Android et offre un accès clandestin à toutes les données de l'appareil.
Sa capacité à contourner les contrôles d'autorisation standard transforme ce logiciel malveillant en une véritable porte dérobée dotée de droits d'accès système illimités. La sophistication de sa mise en œuvre témoigne d'une expertise pointue en architecture Android, en gestion du cycle de vie des applications et en mécanismes de sécurité fondamentaux.
Keenadu se distingue comme une plateforme de logiciels malveillants de grande envergure et d'une grande complexité, capable d'exercer un contrôle persistant et adaptable sur les appareils compromis. Bien qu'actuellement utilisée principalement pour la fraude publicitaire, sa complexité architecturale laisse entrevoir un risque non négligeable d'escalade vers le vol d'identifiants et des opérations cybercriminelles plus vastes.
