Güvenlik & Firewall

Keenadu Android Arka Kapısı: Android Botnetleri Arasındaki Bağlantıları Ortaya Çıkaran Firmware Tabanlı Tehdit

İleri
12 görüntülenme
04 Mar 2026
Ağ & Network (1) Güvenlik & Firewall (1) Sunucu Yönetimi (0) Donanım & Tamir (5) Yazılım & İşletim Sistemi (0) Bulut & Sanallaştırma (0)
Keenadu Android Arka Kapısı: Android Botnetleri Arasındaki Bağlantıları Ortaya Çıkaran Firmware Tabanlı Tehdit

Keenadu Android Arka Kapısı: Genel Bakış

Keenadu, Nisan 2025'te tespit edilen ve Android cihazların firmware'ine gömülü olarak bulunan yeni bir arka kapı tehdididir. Bu kötü amaçlı yazılım, daha önce rapor edilen Triada arka kapısının davranışlarını taklit ederek, cihazda başlatılan her uygulamayı tehlikeye atmak için Zygote sürecine (tüm Android uygulamalarının ana süreci) sızar.

Tespit ve Enfeksiyon Zinciri

Keenadu'nun enfeksiyonu, genellikle firmware oluşturma aşamasında gerçekleşir. Kötü amaçlı bir statik kütüphane (libVndxUtils.a), libandroid_runtime.so kütüphanesine bağlandığında sisteme yerleşir. Bu, cihaz üreticilerinin bile farkında olmadığı bir tedarik zinciri saldırısı yoluyla gerçekleşmiş olabilir. Enfekte olmuş firmware, bazen bir OTA (Over-The-Air) güncellemesiyle bile dağıtılabilir.

Teknik Mekanizma ve Mimari

Keenadu, libandroid_runtime.so içindeki println_native metodunun değiştirilmiş bir uygulaması aracılığıyla etkinleştirilir. Bu, kötü amaçlı bir işlevin çağrılmasına neden olur. Bu işlev, bir yükü (payload) çözer ve /data/dalvik-cache/arm[64]/system@framework@vndx_10x.jar@classes.jar konumuna yazar. Bu yük, com.ak.test.Main sınıfının main metodu aracılığıyla yürütülür.

İstemci-Sunucu Mimarisi

Keenadu, bir istemci-sunucu mimarisi üzerine kuruludur:

  • AKServer: system_server sürecinde çalışır ve maksimum ayrıcalıklara sahiptir. Kötü amaçlı bir sistem hizmeti görevi görür.
  • AKClient: Cihazdaki her başlatılan uygulamaya enjekte edilir. Binder aracılığıyla AKServer'a bağlanmak için bir arayüz sağlar.

Bu mimari, uygulamanın izinlerini atlatmasına ve cihaz üzerinde neredeyse sınırsız uzaktan kontrol sağlamasına olanak tanır. AKServer, diğer uygulamaların izinlerini yönetme (verme veya geri alma), coğrafi konum ve cihaz bilgilerini dışa aktarma yeteneğine sahip ek arayüzler sunar.

Keenadu Modülleri ve Fonksiyonları

Keenadu, komuta ve kontrol (C2) sunucusundan çeşitli kötü amaçlı modüller indirip çalıştırabilir:

  1. Loader Modülü: Aplikasyon mağazalarını (Amazon, SHEIN, Temu) hedef alır. Cihaz meta verilerini toplar ve C2'den ek modüller veya APK dosyaları ister. Yeni Android sürümlerinde kısıtlamaları atlatmak için kurulum oturumlarını kullanır.
  2. Clicker Modülü (Nova/Phantom): Duvar kağıdı seçici, YouTube, Facebook gibi uygulamalara enjekte edilir. Reklam öğeleriyle etkileşime girer ve reklam sahtekarlığı yapar.
  3. Google Chrome Modülü: Chrome'a enjekte edilir. Kullanıcı arama sorgularını çalar ve arama motorunu C2 tarafından belirlenen hedeflere yönlendirir.
  4. Kurulum Para Kazanma Modülü: Sistem başlatıcısına (launcher) yerleşir ve uygulama kurulumlarını izler. Sahte kurulumlar oluşturarak reklam gelirlerini maksimize etmeyi amaçlar.

Botnet Bağlantıları

Araştırmamız, Keenadu'nun Triada, BADBOX ve Vo1d gibi diğer büyük Android botnetleri ile bağlantılı olduğunu ortaya çıkardı. Özellikle BADBOX'un Keenadu yükleyicisini indirdiği ve Triada ile BADBOX'un aynı C2 sunucularını kullandığı tespit edildi. Bu, Android kötü amaçlı yazılım ekosisteminde karmaşık bir etkileşim olduğunu göstermektedir.

UYARI: Eğer libandroid_runtime.so enfekte olmuşsa, sistem bölümü salt okunur (read-only) olduğu için standart Android araçlarıyla tehdidi kaldırmak mümkün değildir. Cihazın önyüklenmesi durabilir. En güvenli çözüm, üreticiden temiz bir firmware güncellemesi beklemek veya manuel olarak güvenli bir firmware yüklemektir.

Tespit ve Öneriler

Kaspersky çözümleri aşağıdaki imzalarla tehditleri tespit etmektedir:

HEUR:Backdoor.AndroidOS.Keenadu.*
HEUR:Trojan-Downloader.AndroidOS.Keenadu.*
HEUR:Trojan-Clicker.AndroidOS.Keenadu.*

Çözüm Adımları

  1. Güncelleme Kontrolü: Cihazınız için üretici tarafından yayınlanmış temiz bir firmware güncellemesi olup olmadığını kontrol edin.
  2. Manuel Firmware Yükleme: Güncelleme yoksa, cihazı brick etme riskini göze alarak güvenilir bir kaynaktan temiz firmware yüklemeyi deneyin.
  3. Sistem Uygulaması Enfeksiyonu: Eğer bir sistem uygulaması (örneğin yüz tanıma servisi) enfekte ise, mümkünse o işlevselliği kullanmaktan kaçının veya ADB kullanarak uygulamayı devre dışı bırakın:
adb shell pm disable --user 0 %PACKAGE_ADI%

Zorluk Seviyesi: advanced

Kaynak: Securelist

Zorluk Seviyesi: İleri

Bu makale ileri düzey teknik bilgi ve deneyim gerektirir.

Güvenlik & Firewall Tüm Makaleler

Çerez Bildirimi

Size daha iyi bir deneyim sunmak için çerezler kullanıyoruz. Devam ederek çerez kullanımını kabul etmiş sayılırsınız. Çerez Politikası