فضيحة “كينادو”: باب خلفي يهدد أجهزة أندرويد

فضيحة "كينادو": باب خلفي يهدد أجهزة أندرويد
فضيحة "كينادو": باب خلفي يهدد أجهزة أندرويد
شارك هذا الخبر

كشفت شركة كاسبرسكي الروسية للأمن السيبراني عن برمجية خبيثة جديدة تحمل اسم Keenadu، تتسلل إلى أجهزة أندرويد عبر تحديثات هوائية موقعة رقمياً، ما يجعلها واحدة من أخطر الهجمات التي تستهدف البنية العميقة للنظام. هذه البرمجية ليست مجرد تطبيق ضار، بل باب خلفي مدمج في ملفات النظام الأساسية، يمنح المهاجمين قدرة شبه مطلقة على التحكم بالجهاز المصاب.

انتشار عبر التحديثات الموقعة

تبيّن أن البرمجية الخبيثة تم دمجها في بعض أجهزة Alldocube iPlay 50 mini Pro منذ أغسطس 2023، حيث تصل إلى المستخدمين عبر تحديثات OTA تحمل توقيعاً رقمياً صحيحاً، ما يضفي عليها شرعية زائفة. الأخطر أن نسخة من الباب الخلفي تُحمّل في ذاكرة كل تطبيق عند تشغيله، مما يتيح للمهاجمين التلاعب بسلوك التطبيقات دون علم المستخدم.

بنية معقدة على مستوى النظام

يعتمد Keenadu على بنية عميل–خادم داخل النظام. المكون الأساسي المعروف بـ AKServer يتولى تنفيذ الأوامر والتحكم المركزي، بينما يتم حقن AKClient في كل تطبيق ليعمل كجسر للتواصل مع الخادم. هذه البنية تمنح المهاجمين القدرة على تنفيذ أوامر مخصصة، مثل سرقة بيانات الموقع، منح أو إلغاء صلاحيات التطبيقات، أو حتى التلاعب بمحركات البحث داخل المتصفح.

أهداف متعددة وأساليب خفية

كشفت التحليلات أن Keenadu لا يقتصر على التجسس، بل يركز على الاحتيال الإعلاني. من بين الوحدات المكتشفة:

  • وحدة تستهدف متاجر إلكترونية مثل Amazon وShein لإضافة منتجات إلى السلة دون علم المستخدم.
  • وحدة “Clicker” تتلاعب بالإعلانات داخل تطبيقات مثل YouTube وFacebook.
  • وحدة خاصة بمتصفح Chrome تختطف عمليات البحث وتعيد توجيهها.
  • وحدة “Nova clicker” تستخدم تقنيات الذكاء الاصطناعي للتفاعل مع الإعلانات عبر خلفية النظام.
  • وحدة “Install monetization” تخدع منصات الإعلانات لتسجيل عمليات تثبيت وهمية.
انتشار عالمي وتحذيرات أمنية

تشير بيانات القياس إلى أن أكثر من 13,700 مستخدم حول العالم واجهوا Keenadu أو وحداته، مع تركّز الهجمات في روسيا واليابان وألمانيا والبرازيل وهولندا. كما تم رصد البرمجية داخل تطبيقات كاميرات ذكية منشورة على متجر Google Play من مطور صيني، قبل أن تتم إزالتها لاحقاً. اللافت أن النسخ الموجهة لنظام iOS لا تحتوي على الوظائف الخبيثة، ما يعزز فرضية أن Keenadu يستهدف أندرويد بشكل رئيسي.

خطورة غير مسبوقة

تكمن خطورة Keenadu في أنه يعمل داخل مكتبة libandroid_runtime.so، وهي جزء أساسي يُحمّل عند إقلاع النظام. هذا يعني أن البرمجية تعمل في سياق كل تطبيق، ما يُفقد نظام أندرويد ميزة العزل بين التطبيقات. إضافة إلى ذلك، فإن قدرته على تجاوز صلاحيات النظام تجعله باباً خلفياً كاملاً يتيح للمهاجمين السيطرة الكاملة على الجهاز.

ورغم أن الاستخدام الحالي يتركز على الاحتيال الإعلاني، إلا أن خبراء الأمن السيبراني يحذرون من أن هذه المنصة الخبيثة قد تتطور لاحقاً لتسرق بيانات حساسة مثل كلمات المرور أو المعلومات البنكية، على غرار برمجيات سابقة مثل Triada.

وسوم
محمد وهبى
محمد وهبى
المقالات: 912

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة