.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Alla fine di febbraio 2026, gli analisti di SophosLabs hanno identificato numerosi rilevamenti su dispositivi Android relativi ad attività malevole associate alla backdoor Keenadu. Secondo Kaspersky, Keenadu è un’infezione a livello firmware incorporata nella libreria condivisa libandroid_runtime.so, che si inietta nel processo Zygote. Poiché Zygote è il processo padre di tutte le app Android, un aggressore può ottenere di fatto il controllo totale del dispositivo infetto. Keenadu agisce come downloader per moduli malware di secondo livello, utilizzabili per colpire i dati presenti in diverse applicazioni. Poiché tutte le app Android dipendono da libandroid_runtime.so per funzionare, una copia di Keenadu viene caricata nello spazio di memoria di ogni app installata su un dispositivo compromesso.
Il codice di Keenadu si trova in una libreria statica (libVndxUtils.a) sul dispositivo infetto e si basa su una dipendenza malevola che si presenta come codice legittimo MediaTek. Sulla base degli elementi analizzati, Kaspersky ha concluso che Keenadu è stato “integrato nel firmware durante la fase di build”, indicando una compromissione della supply chain piuttosto che un’installazione successiva tramite un server OTA compromesso.
Le applicazioni prese di mira variano in base ai moduli scaricati dall’aggressore. Tra gli esempi figurano piattaforme di e-commerce come Shein, Temu e Amazon. Anche YouTube, Facebook e l’app Digital Wellbeing sono colpite da moduli “clicker”, utilizzati per frodi pubblicitarie tramite connessioni silenziose a siti web in background per generare ricavi pay-per-click. Un ulteriore modulo clicker è integrato nel launcher di sistema (com.android.launcher3) e sembra progettato per monetizzare ogni installazione. Un altro modulo prende di mira il browser Google Chrome.
I dispositivi infetti rilevati da Sophos presentavano costantemente due file APK a livello di sistema: PriLauncher.apk e PriLauncher3QuickStep.apk, localizzati in directory di sistema (ad esempio /system/system_ext/priv-app/PriLauncher3QuickStep/PriLauncher3QuickStep.apk). QuickStep è il launcher di sistema predefinito di Android e un componente chiave dell’Android Open Source Project (AOSP). Il fatto che questi APK siano stati identificati come malevoli suggerisce che tali componenti siano stati trojanizzati per eseguire Keenadu su alcuni dispositivi. L’agente endpoint Sophos Intercept-X per Android non blocca le versioni legittime di QuickStep.
Al 4 marzo, la telemetria Sophos X-Intercept ha rilevato oltre 500 dispositivi Android compromessi appartenenti a quasi 50 modelli. Si tratta principalmente di dispositivi a basso costo prodotti da Allview, BLU, Dcode, DOOGEE, Gigaset, Gionee, Lava e Ulefone. L’elenco non include dispositivi Alldocube, sebbene Kaspersky abbia osservato infezioni anche su quel marchio. Le infezioni sono distribuite a livello globale, con dispositivi individuati in 40 Paesi.
Le organizzazioni che consentono l’accesso alle risorse aziendali da dispositivi personali sono esposte a un rischio maggiore. Sebbene l’esfiltrazione dei dati avvenga dal dispositivo stesso, gli aggressori potrebbero accedere alla rete aziendale tramite credenziali salvate nelle app del dispositivo compromesso.
Gli analisti di SophosLabs raccomandano di seguire le indicazioni riportate nell’articolo KBA-000047016. Gli utenti Android dovrebbero installare eventuali aggiornamenti firmware rilasciati dal produttore. In attesa degli aggiornamenti, le organizzazioni dovrebbero valutare la limitazione dell’accesso alla rete aziendale per i modelli interessati.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/android-devices-ship-with-firmware-level-malware