Эксперты «Лаборатории Касперского» зафиксировали масштабную компрометацию цепочек поставок. Хакеры встроили код Keenadu в операционные системы новых устройств на базе Android, чтобы заразить телефоны до момента их поступления в продажу.
В начале февраля аналитики выявили свыше 13 000 зараженных гаджетов — почти 9000 инфицированных смартфонов пришлось на российский рынок, остальные же случаи заражения эксперты зафиксировали на территории Японии, Германии, Бразилии, Нидерландов.
Угроза для пользователей
Создатели проектировали сеть зараженных устройств под накрутку рекламного трафика ради пассивного дохода.
Функционал вредоносной программы позволяет перехватывать полный контроль над операционной системой для кражи криптовалют: Keenadu способен модифицировать установленные приложения, предоставляя сторонним APK-файлам максимальные привилегии доступа.
Программа беспрепятственно считывает банковские реквизиты, личные сообщения, отметки геолокации.
Механика заражения
Аналитики выявили случаи внедрения вируса в системные утилиты, отвечающие за биометрическую разблокировку по лицу.
Старший эксперт по кибербезопасности Дмитрий Калинин (Dmitry Kalinin) уточнил, что производители могли не знать о компрометации из-за успешной маскировки вируса под легитимные компоненты.
Руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин (Roman Safiullin) описал сценарии первичного заражения. Эти векторы включают взлом баз данных с открытым исходным кодом при разработке прошивок.
Злоумышленники активно атакуют серверы обновлений локальных дистрибьюторов.
Китайский след
Программа содержит встроенные механизмы маскировки, зависящие от региональных настроек смартфона.
Код отказывается запускаться при обнаружении китайских диалектов в качестве основного языка системы либо при совпадении часового пояса с китайским регионом.
Руководитель разработки PT MAZE Positive Technologies Николай Анисеня (Nikolay Anisenya) напомнил о невозможности полностью полагаться на внутренние защитные алгоритмы официальных маркетплейсов при покупке нового оборудования.