Préinstallé dans le firmware, dissimulé dans des applications système, diffusé via des apps pourtant validées sur Google Play et difficile à supprimer, Keenadu ravive le spectre des malwares liés à la chaîne d’approvisionnement logicielle, capables de compromettre un appareil avant même sa première utilisation.
Les équipes de sécurité de Kaspersky viennent d’identifier un nouveau malware Android, baptisé Keenadu, dont certaines variantes sont directement intégrées au firmware au moment de sa conception, soit avant la commercialisation des appareils infectés. Cette implantation lui permet de se greffer à Zygote, le processus à l’origine du lancement des applications, et ainsi d’exécuter du code malveillant dans chacune d’elles. Plus de 13 000 terminaux ont déjà été identifiés comme compromis, répartis dans plusieurs pays dont l’Allemagne, le Japon, le Brésil ou encore les Pays-Bas.
Une backdoor profondément ancrée dans le système Android
Dans le détail, Keenadu s’appuie sur la modification de libandroid_runtime.so, une bibliothèque centrale d’Android impliquée dans l’exécution des applications. En intervenant à cet endroit précis, le malware s’insère dans les fonctions internes du système et fonctionne comme un service parallèle, ce qui lui permet de déployer des modules chargés à la demande et d’exécuter ses instructions directement au sein des applis installées sur l’appareil.
Avec un tel niveau d’accès, les opérateurs peuvent ensuite manipuler les autorisations, collecter des informations sur le terminal, suivre certaines interactions et transmettre ces données à leur infrastructure de commande. Les analyses montrent également une capacité à surveiller les recherches effectuées dans Chrome, y compris en navigation privée.
Dans les faits, les charges observées par Kaspersky relèvent surtout de la fraude publicitaire. Plusieurs modules sont conçus pour détourner des requêtes, rediriger le trafic ou simuler des interactions avec des contenus promotionnels afin de générer des revenus. Malgré tout, cette exploitation actuelle n’utilise qu’une partie des possibilités offertes par l’implantation du malware, dont l’architecture modulaire permettrait, en théorie, de déployer d’autres types de charges si ses opérateurs décidaient d’en élargir l’usage.
Fait notable, l’analyse met aussi en évidence des recoupements techniques entre Keenadu et plusieurs familles de botnets déjà connues, notamment Triada, BADBOX et Vo1d. Les chercheurs ont ainsi observé des éléments de code similaires, des interfaces système communes et des infrastructures de commande croisées, au point que certaines infections BADBOX ont servi de relais pour déployer des composants liés à Keenadu.
Alors, qu’on s’entende, ces convergences ne signifient pas que toutes ces opérations relèvent d’un seul et même groupe. Mais elles témoignent d’un écosystème dans lequel outils, accès et méthodes circulent d’une campagne à l’autre.
Des appareils difficiles à assainir, et quelques réflexes pour limiter les risques
Si l’implantation dans le firmware constitue le scénario le plus problématique, les chercheurs de Kaspersky indiquent que le malware circule aussi par d’autres biais. Certaines variantes ont été intégrées à des applications système préinstallées, comme des services de reconnaissance faciale ou des launchers qui disposent déjà de privilèges élevés sur l’appareil, tandis que d’autres ont été diffusées via des APK, voire embarquées dans des applis officiellement distribuées sur le Play Store (supprimées par Google depuis).
Concernant les cas d’infection passant par le téléchargement d’applis, mêmes consignes que d’habitude. Évitez les APK provenant de sources inconnues, vérifiez les avis et l’identité de l’éditeur sur le Play Store, ne désactivez pas Play Protect, lancez un scan antivirus en cas de doute et désinstallez immédiatement tout ce qui adopte un comportement suspect.
La situation est un peu différente lorsque l’infection concerne un composant livré d’origine. On ne désinstalle pas aussi facilement une application système qu’une application classique, pas plus qu’on ne peut assainir soi-même un firmware corrompu, y compris en tenant une restauration des paramètres d’usine. Kaspersky ayant déjà alerté les constructeurs concernés par Keenadu, la seule solution viable consiste à mettre à jour l’appareil dès la disponibilité du patch ou, à défaut, à cesser de l’utiliser.
Les chercheurs n’ont toutefois pas publié la liste complète des marques ou des modèles touchés. En pratique, il est donc difficile de savoir avec certitude quels appareils sont concernés, ce qui rend d’autant plus important le suivi des mises à jour système et l’intérêt porté à la réputation du constructeur.
Source : SecureList
