Keenadu は正当なシステムコンポーネントになりすましてデバイスに侵入し、製造およびサプライチェーンパイプライン全体のファームウェア整合性に対する厳格な管理を求める声が上がっている。
新しいスマートフォンやタブレットにプリインストールされた複雑なAndroidマルウェアに感染した場合、ユーザーができることはほとんどない。
Kaspersky のセキュリティ研究者は、デバイスファームウェア経由でプリインストールされる可能性があり、セットアップを完了する前にユーザーを危険にさらすKeenaduという多面的なAndroidマルウェアに警告を発した。
「Keenaduは、モバイルマルウェアがもはや悪いアプリの問題ではなく、むしろサプライチェーンおよびファームウェア整合性の問題であることを思い出させてくれる」と、Swimlane のリード セキュリティ オートメーション アーキテクト Nick Tausek 氏は述べた。「最も危険なKeenadu亜種はファームウェアレベルに組み込まれており、攻撃者に事実上無制限の制御を与え、デバイス上のすべてのアプリの内部で動作する能力を持つため、単一の危険にさらされたタブレットまたはフォンを企業全体のデータ流出リスクに変えることができる。」
研究者たちは、この脅威は既に複数国のユーザーに影響を与えており、2月時点でKaspersky が検出した13,000台以上のデバイスに感染していると述べた。「攻撃対象ユーザーの最大数はロシア、日本、ドイツ、ブラジル、オランダで観察されているが、他の国も影響を受けている」と、Kaspersky の研究者がブログ記事で付け加えた。
プリインストールマルウェアは昇格した権限で実行される
Kaspersky によると、Keenadu は新しいデバイスに到着する際、既にシステムソフトウェアに組み込まれており、デバイスが起動された瞬間から高い権限で実行できる。悪意のあるコンポーネントはファームウェアに存在し、後でアプリとしてインストールされるのではなく、影響を受けたユーザーは従来の手段でそれらを検出または削除できる能力が限定されている場合がある。
「ユーザー側の行動がなくても、デバイスは箱から出した状態で感染する可能性がある」とKaspersky のセキュリティ研究者である Dmitry Kalinin 氏はブログ記事の声明で述べた。「ベンダーはKeenadu がデバイスに侵入したサプライチェーン侵害について知らなかった可能性が高く、マルウェアが正当なシステムコンポーネントを模倣していたためだ。製造プロセスのすべての段階をチェックして、デバイスファームウェアが感染していないことを確認することが重要だ。」
Keenadu が有効化されると、信頼されたシステムレベルの権限を継承し、最小限の可視性で動作する。このマルウェアは特定の条件でのみ起動し、中国語に設定されたデバイスやタイムゾーン、Google Play Store と Google Play Services がないデバイスで休止状態のままになる。
コアシステムアプリに組み込まれている
Keenadu は影響を受けたデバイス上の正当なシステムアプリケーションを制御できる。Kaspersky は顔認識ロック解除アプリケーションなどの重要なコンポーネント内でそれを観察し、攻撃者が生体認証データにアクセスできる可能性を提起した。マルウェアはまた、デバイスのプライマリインターフェイスを制御するホームスクリーンアプリ内で動作していることが見つかった。
研究者たちは、このバックドアが攻撃者にデバイスに対する広範な制御を提供することを警告した。Keenadu は他のインストール済みアプリに感染し、APK ファイルから追加のソフトウェアをインストールでき、これらのアプリにシステムで利用可能な任意の権限を付与できる。これにより、メディアファイル、メッセージ、銀行認証情報、位置情報など、デバイスに保存されている機密データの侵害が可能になる。
このマルウェアは、ユーザーがシークレットモードで操作している場合でも、Chrome ブラウザの検索クエリを監視できる。
その他の感染方法
Kaspersky は、Keenadu の配布がプリインストールされたシステムコンポーネントに限定されていないことに注目した。
場合によっては、マルウェアは Android アプリストアを通じて配布されるアプリケーション内に組み込まれていることも観察されており、一見無害なダウンロードとして配信され、インストール後に有効化される可能性がある。これらのアプリのほとんどはスマートホームカメラ向けであり、30万回以上ダウンロードされているとのことで、開示時点でそのすべてが削除されたと研究者たちは付け加えた。
Tausek 氏は、軽減策は「検出と削除」より早い段階から始める必要があると述べている。「前進する道は、OTA ガバナンスやEMM ポリシーなどのハードベースラインと、バックドアの行動フィンガープリントを横方向の動きに変わる前に識別し、AI 駆動の予防と抑制を組み合わせることだ」と彼は述べた。「AI モデルはモバイルテレメトリを身元、エンドポイント、ネットワーク信号と継続的に関連付けて、リアルタイムで高リスクデバイスをフラグして、デバイス分離やセッションおよびトークンの取り消しなどの自動ガードレール をトリガーできる。」
Kaspersky の推奨事項には、デバイスが感染している場合のファームウェア更新確認、「信頼できる」セキュリティソリューションでのデバイススキャン実行、感染が疑われる場合のアプリケーションの使用中止または無効化が含まれていた。
