Yeni Keenadu Arka Kapısı ve Tehditleri
Kaspersky’nin yaptığı son analiz, Android cihazların firmware’ine yerleştirilmiş yeni bir arka kapı olan Keenadu‘nun, kullanıcı verilerini gizlice toplayabildiğini ve uzaktan kontrol edebildiğini ortaya koydu. Bu durum, hem bireysel kullanıcılar hem de kurumlar için ciddi bir güvenlik tehdidi oluşturuyor.
Saldırı Nasıl Çalışıyor?
Keenadu, cihaz firmware’inde, özellikle Alldocube markasına ait iPlay 50 mini Pro modelinde tespit edilmiştir. Firmware, 18 Ağustos 2023 tarihinde ortaya çıkmıştır ve bu süreçte OTA güncellemeleri aracılığıyla kullanıcı cihazlarına ulaşmıştır. Malware, her uygulama açıldığında belleğe yüklenmekte ve cihazın yönetimini ele geçirebilmektedir. Analizler, Keenadu’nun yüklediği bazı payload’ların kullanıcıların tarayıcılarındaki arama motorunu ele geçirip, uygulama indirimlerini monetize edebildiğini göstermektedir.
Etkilenen Sistemler
Keenadu’nun etkilediği cihazlar arasında:
- Alldocube iPlay 50 mini Pro (Firmware: 19.07.1, CVE: TBD)
- Diğer birçok Android tablet
Kaspersky’nin telemetri verileri, dünya genelinde 13,715 kullanıcının Keenadu veya onun modülleriyle karşılaştığını göstermektedir. En fazla etkilenen kullanıcılar Rusya, Japonya, Almanya, Brezilya ve Hollanda’dadır.
Malware Yapısı ve Mekanizması
Keenadu, libandroid_runtime.so kütüphanesine yerleştirilmiş bir arka kapıdır. Cihaz açıldığında, bu kütüphane Zygote işlemi aracılığıyla devreye girmekte ve bu sayede cihazın tüm uygulamalarında arka planda çalışabilmektedir. Bu durum, Android işletim sisteminin sunduğu uygulama sandbox’lama ilkesini etkisiz hale getiriyor.
Keenadu, çeşitli komponentlere sahip bir istemci-sunucu mimarisine dayanmakta:
- AKServer: Kötü amaçlı yükleri özelleştirilmiş bir şekilde çalıştırır ve izinleri yönetir.
- AKClient: Cihazda açılan her uygulamaya entegre olur ve AKServer ile iletişim kurar.
Bu mimari yapısı sayesinde Keenadu, kullanıcıların cihazlarında büyük ölçüde kontrol elde edebilir.
Çözüm ve Korunma
Keenadu’ya karşı korunmak için şu adımlar atılmalıdır:
- Cihaz firmware’lerini güncel tutun ve tanımadığınız kaynaklardan gelen güncellemeleri uygulamayın.
- Güvenilir uygulama mağazalarından indirme yapmaya dikkat edin.
- Sistem izinlerinizi gözden geçirin ve yalnızca gerekli izinleri uygulamalara verin.
- Bilgilerinizi korumak amacıyla anti-malware yazılımları kullanın ve düzenli olarak tarama yapın.
Kullanıcıların, kendi güvenlikleri için cihazlarını güncellemeleri ve şüphelendikleri uygulamaları kaldırmaları kritik önem taşımaktadır.
Sonuç olarak, Keenadu, Android güvenliği açısından büyük bir tehdit oluşturmaktadır. Cihazlarınızı korumanın en etkili yollarından biri, güncellemeleri takip edip port güvenliğini sağlamaktır.
