Kúpa lacnej elektroniky sa môže nepekne vypomstiť. Bezpečnostní analytici zo spoločnosti Kaspersky odhalili nový typ malvéru s názvom Keenadu, ktorý infikuje Android zariadenia na tej najhlbšej možnej úrovni – priamo vo firmvéri.
Tento zákerný softvér bol objavený v tisíckach tabletov po celom svete. Nejde pritom o vírus, ktorý by ste si stiahli omylom z internetu. V týchto zariadeniach sa nachádza už v momente, keď ich prvýkrát vyberiete z krabice.
Ako Keenadu funguje?
Keenadu je tzv. backdoor (zadné vrátka), ktorý funguje podobne ako známy trójsky kôň Triada. Útočníci ho dokázali prepašovať do zariadení počas výrobného procesu, konkrétne vo fáze zostavovania softvéru (binary build phase).
Malvér sa maskuje v systémovej knižnici libandroid_runtime.so. Akonáhle tablet zapnete, škodlivý kód sa „vstriekne“ do procesu Zygote. Zygote je v Androide kľúčový proces, ktorý slúži ako „rodič“ pre všetky ostatné spustené aplikácie. Tým, že Keenadu infikuje tento bod, stáva sa automaticky súčasťou každej jednej aplikácie, ktorú systém alebo používateľ spustí.
Čo hrozí používateľom?
Keďže malvér má nad zariadením takmer neobmedzenú moc, útočníci ho môžu ovládať na diaľku. Medzi hlavné riziká patrí:
- Nenápadná inštalácia aplikácií: Tablet môže na pozadí sťahovať a inštalovať softvér bez vedomia majiteľa (často na generovanie zisku).
- Agresívna reklama: Vírus dokáže simulovať interakcie s reklamami.
- Manipulácia prehliadača: Môže meniť výsledky vyhľadávania alebo presmerovať používateľa na podvodné stránky.
Stopy po tomto malvéri sa dokonca našli aj v aplikáciách distribuovaných cez Google Play či Xiaomi GetApps, čo naznačuje jeho schopnosť šíriť sa ďalej.
Kto je ohrozený?
Kaspersky vystopoval pôvod infekcie k výrobcovi tabletov Alldocube, ktorý verejne zdieľa svoje archívy firmvéru. Je však vysoko pravdepodobné, že problém sa týka viacerých, prevažne neznačkových výrobcov lacných tabletov. K nákaze došlo zrejme kompromitáciou dodávateľského reťazca.
Doteraz bolo identifikovaných takmer 14 000 obetí po celom svete. Najviac zasiahnutými krajinami sú Rusko, Japonsko, Nemecko a Brazília.
Odborníci radia okamžite inštalovať všetky dostupné systémové aktualizácie, ak ich výrobca ponúka. V prípade lacných zariadení s nejasným pôvodom je však softvérová podpora často minimálna, čo z nich robí trvalé bezpečnostné riziko.
