A equipa de analistas da Kaspersky revelou a existência de um novo e sofisticado “backdoor” ao nível do firmware, chamado Keenadu, que está a comprometer a segurança de milhares de dispositivos Android em todo o mundo. Esta ameaça não se limita a ser uma aplicação maliciosa comum; trata-se de código infiltrado nas camadas mais profundas do sistema operativo, muitas vezes antes mesmo de o equipamento chegar às mãos do consumidor final. A descoberta feita durante uma investigação paralela ao Triada, um trojan já conhecido por vir pré-instalado em dispositivos Android de baixo custo.
O Keenadu destaca-se pela sua capacidade de passar despercebido, ao operar num nível onde as soluções de segurança convencionais têm dificuldade em actuar. Ao contrário de um vírus que o utilizador instala por acidente, este malware faz parte da própria estrutura do software que faz o tablet funcionar. Esta abordagem permite aos atacantes manter um controlo persistente e quase total sobre o hardware, sem que o proprietário suspeite de qualquer actividade anómala.
Infecção profunda no sistema
A arquitectura do Keenadu é particularmente insidiosa. Segundo os relatórios técnicos, a ameaça infecta o firmware durante a fase de construção binária do sistema. Neste estágio, uma biblioteca estática maliciosa é secretamente ligada à biblioteca legítima “libandroid_runtime.so”. Quando o dispositivo inicia o processo de arranque, esta biblioteca injecta-se automaticamente no processo Zygote.
Na estrutura do Android, o Zygote é o processo fundamental que serve de base para todos os outros serviços e aplicações que o sistema executa. Ao conseguir infiltrar-se neste ponto, o Keenadu passa a fazer parte de cada aplicação que o utilizador decide abrir. Esta posição privilegiada garante aos cibercriminosos a capacidade de monitorizar actividades, interceptar dados e manipular o comportamento do sistema operativo de forma invisível.
Controlo total e remoto
O design deste backdoor é modular e permite aos seus operadores a execução de comandos remotos sem restrições. Uma vez estabelecida a ligação com os servidores de comando e controlo, os atacantes podem enviar cargas maliciosas para atingir objectivos específicos. Entre as actividades detectadas, destaca-se a manipulação de motores de busca nos browsers, a instalação forçada de novas aplicações para gerar receitas e a interacção oculta com anúncios publicitários.
A Kaspersky identificou ainda vestígios do Keenadu em aplicações distribuídas por vias oficiais e semioficiais, como a Google Play Store e a Xiaomi GetApps, além de repositórios de terceiros. Esta diversidade de vectores de propagação demonstra que os autores da ameaça estão a tentar maximizar o alcance do código malicioso, aproveitando todas as brechas possíveis no ecossistema móvel.
Falha na cadeia de abastecimento
Um dos pontos mais alarmantes desta investigação prende-se com a origem da infecção. Os analistas acreditam que o Keenadu entrou no ecossistema Android através de uma infiltração na cadeia de abastecimento. Isto significa que os criminosos conseguiram aceder aos sistemas de desenvolvimento de fabricantes ou fornecedores de software intermédios, inserindo o código malicioso antes da distribuição das actualizações ou da venda dos tablets.
A marca Alldocube foi um dos nomes associados a esta vulnerabilidade, uma vez que partilha publicamente os seus arquivos de firmware para auditoria. A telemetria da Kaspersky indica que, até ao momento, pelo menos 13.715 utilizadores foram afectados globalmente. Os países com maior concentração de infecções incluem a Rússia, o Japão, a Alemanha, o Brasil e os Países Baixos, o que prova a escala internacional deste problema de segurança.
Prevenção e actualizações
Embora a remoção de um malware ao nível do firmware seja uma tarefa complexa para o utilizador comum, a recomendação principal passa pela instalação imediata de todas as actualizações de segurança disponibilizadas pelos fabricantes. A Kaspersky já alertou as marcas afectadas para que estas possam corrigir as imagens de sistema comprometidas.
Este caso sublinha a sofisticação crescente do cibercrime, que deixa de focar apenas o software visível para passar a explorar a arquitectura central do Android. Para os consumidores, resta a cautela na escolha de marcas e a atenção redobrada a comportamentos estranhos nos seus dispositivos, como o aparecimento de apps não solicitadas ou alterações súbitas nas definições de navegação.
