Keenadu è emerso come una minaccia concreta per gli utenti Android. Secondo i ricercatori di Kaspersky, si tratta di una backdoor multifunzionale che è stata trovata in centinaia di varianti e ha infettato oltre 13.000 dispositivi nel mondo, con casi segnalati anche in Italia. Può arrivare già preinstallata o viaggiare attraverso canali ufficiali, compreso il Play Store.
Diffusione e modalità di attacco
Keenadu utilizza tre vettori principali, e spesso la combinazione di questi rende il problema difficile da sradicare.
- – Supply chain / firmware preinstallato: su dispositivi economici il malware viene integrato direttamente nel firmware prima della vendita. In questi casi è operativo dal primo avvio e non richiede alcuna azione dell’utente, quindi le difese tradizionali sono spesso inefficaci; servono controlli sulla catena di fornitura e analisi del firmware per individuare e rimuovere il codice malevolo.
- App di sistema con privilegi elevati: alcune varianti sono incluse in app di sistema che godono di permessi estesi. Pur non sempre avendo tutte le funzioni delle versioni firmware, queste app possono mantenere accesso persistente e installare componenti aggiuntivi senza il consenso dell’utente.
- Pubblicazione su store ufficiali: esistono anche campioni pubblicati come app apparentemente legittime sugli store, rivolti soprattutto a utenti non esperti. La rimozione dallo store non cancella le installazioni già presenti sui dispositivi infetti.
Caratteristiche pericolose
Quando è integrato nel firmware, Keenadu diventa particolarmente pericoloso: può infettare altre app, scaricare e installare APK esterni, e assegnare permessi sensibili ai componenti che installa. Gli autori possono così accedere a foto, messaggi, posizione, e persino a credenziali bancarie. I ricercatori hanno notato un comportamento curioso: molte varianti evitano di attivarsi se la lingua del dispositivo è un dialetto cinese o se il fuso orario è quello cinese, elemento che potrebbe suggerire l’origine degli autori.
Varianti e implicazioni per la privacy
Le versioni incorporate nelle app di sistema tendono ad avere privilegi elevati ma funzioni a volte più limitate rispetto alle varianti firmware. Un caso particolarmente allarmante è l’integrazione di moduli malevoli in componenti legati allo sblocco tramite riconoscimento facciale: i dati biometrici memorizzati sul dispositivo possono così essere esposti, con evidenti rischi per la privacy.
Campagne sul Play Store e frodi pubblicitarie
Kaspersky ha individuato una famiglia di campioni diffusa tramite app per videocamere domestiche sul Google Play. All’avvio, queste app aprivano schede di browser “invisibili” per generare traffico e clic pubblicitari automatici, trasformando i dispositivi in bot per frodi pubblicitarie. Google ha poi rimosso le app segnalate, ma l’episodio dimostra come anche store ufficiali possano temporaneamente veicolare codice dannoso.
Funzionalità offensive e impatto operativo
In alcune varianti Keenadu fornisce accesso remoto completo al dispositivo: è in grado di registrare query di ricerca (anche in modalità incognito), leggere file multimediali, intercettare messaggi e sottrarre credenziali. Questo profilo di rischio è rilevante soprattutto per chi gestisce dati sensibili da mobile, come conti bancari o informazioni aziendali.
Indicatori di compromissione
Tra i segnali ricorrenti che aiutano a identificare campagne legate a Keenadu ci sono:
– mancata attivazione su dispositivi con impostazioni regionali particolari (es. dialetti e fuso orario cinesi);
– dipendenza da Google Play Services;
– uso di componenti che imitano moduli di sistema legittimi.
Queste caratteristiche complicano il rilevamento automatico e spesso fanno emergere la compromissione solo dopo segnalazioni esterne.
Come difendersi
Alcune misure pratiche per ridurre il rischio:
– aggiornare il firmware non appena gli aggiornamenti ufficiali sono disponibili;
– preferire dispositivi e marchi con catene di fornitura affidabili;
– usare soluzioni di mobile security affidabili: possono intercettare molte varianti, anche se non tutte;
– non fare affidamento esclusivo su Play Protect, che migliora la sicurezza ma non è infallibile;
– se si sospetta che un’app di sistema sia compromessa, considerare di disabilitarla o usare temporaneamente un launcher alternativo;
– per aziende e produttori: effettuare verifiche capillari nella supply chain e controlli di integrità sul software preinstallato.
Keenadu mette in luce limiti nelle catene produttive e nei controlli degli store digitali. Serviranno ulteriori analisi tecniche e verifiche forensi per mappare la portata delle campagne e le tecniche di evasione utilizzate, ma nel frattempo adottare buone pratiche di sicurezza e vigilare su aggiornamenti e integrazioni software resta la strada più concreta per ridurre il rischio.
