Kybernetické bezpečnostní povědomí zaměstnanců: Jak je zajistit a udržet? | Scenario s.r.o.
Mobilní menu - UPdate IT

Malware přímo ve firmwaru Android zařízení: hrozba s plnou kontrolou nad systémem

Nový typ útoku z dodavatelského řetězce ukazuje rizika levnějších zařízení i BYOD přístupu

Bezpečnostní analytici upozorňují na závažnou hrozbu, která se týká některých Android zařízení – malware je totiž přítomen přímo ve firmwaru. Tento typ kompromitace je výrazně nebezpečnější než běžná infekce aplikací, protože útočník získává prakticky plnou kontrolu nad celým zařízením.

Zjištění vychází z analýz bezpečnostních týmů, které odhalily aktivitu backdooru označovaného jako Keenadu. Ten je podle dostupných informací součástí systému již při výrobě zařízení.

Malware hluboko v systému: kontrola nad všemi aplikacemi

Keenadu je škodlivý kód, který se nachází v klíčové systémové knihovně Androidu (libandroid_runtime.so). Tento komponent je zásadní pro běh všech aplikací.

Malware se injektuje do procesu Zygote, což je základní proces, ze kterého se spouští všechny aplikace v systému. Díky tomu:

  • se škodlivý kód automaticky dostává do každé spuštěné aplikace
  • útočník získává kompletní kontrolu nad zařízením
  • malware může operovat bez povšimnutí uživatele i bezpečnostních nástrojů

Keenadu zároveň funguje jako „downloader“, který umožňuje stahovat další škodlivé moduly podle potřeby útočníka.

Útok z dodavatelského řetězce

Analýza naznačuje, že malware nebyl do zařízení nahrán dodatečně, ale byl integrován přímo během výroby firmwaru.

To znamená:

  • nejde o klasickou infekci přes aplikaci nebo aktualizaci
  • zařízení je kompromitované již při zakoupení
  • detekce i odstranění jsou výrazně složitější

Škodlivý kód se navíc maskuje jako legitimní komponenty, například části související s platformou MediaTek, což dále komplikuje jeho odhalení.

Reklamní podvody i přístup k datům aplikací

Keenadu umožňuje útočníkům nasazovat různé typy škodlivých modulů. Ty mohou cílit jak na monetizaci, tak na přístup k datům.

Mezi zaznamenané aktivity patří:

  • ad fraud (klikací podvody) – zařízení na pozadí generuje návštěvy webů a kliknutí
  • cílení na aplikace jako e-commerce platformy nebo sociální sítě
  • zneužití prohlížeče a dalších běžných aplikací
  • snaha o přístup k datům uloženým v aplikacích

Některé moduly jsou dokonce integrovány přímo do systémového launcheru, což zajišťuje jejich perzistenci a spuštění při každém použití zařízení.

Rozsah infekce: stovky zařízení napříč světem

Podle dostupných dat bylo identifikováno:

  • více než 500 kompromitovaných zařízení
  • téměř 50 různých modelů
  • výskyt ve 40 zemích světa

Postižena byla především levnější zařízení od výrobců jako Allview, BLU, DOOGEE, Gigaset, Lava nebo Ulefone.

Riziko pro firmy: kompromitované BYOD zařízení

Zvláštní pozornost by měly věnovat organizace, které umožňují přístup do firemních systémů z osobních zařízení (BYOD).

I když malware primárně operuje na úrovni zařízení, může:

  • získat přístup k přihlašovacím údajům uloženým v aplikacích
  • zneužít tyto údaje pro přístup do firemních systémů
  • představovat vstupní bod do interní infrastruktury

To výrazně zvyšuje riziko kompromitace firemních dat i služeb.

Doporučení pro organizace

V reakci na tuto hrozbu je vhodné přijmout několik základních opatření:

  • aktualizovat firmware zařízení, pokud výrobce vydá opravu
  • omezit přístup z neověřených nebo rizikových zařízení
  • zavést kontrolu zařízení přistupujících do firemních systémů
  • monitorovat anomálie v chování uživatelů a zařízení

Do doby vydání aktualizací je vhodné zvážit dočasné omezení přístupu postižených modelů do firemní sítě.

Co to znamená pro moderní bezpečnost

Tento případ ukazuje rostoucí význam:

  • ochrany dodavatelského řetězce
  • kontroly koncových zařízení mimo tradiční firemní infrastrukturu
  • identity-based bezpečnosti a řízení přístupů

Bezpečnost se tak stále více posouvá od ochrany sítě k ověřování důvěryhodnosti zařízení a uživatelů, bez ohledu na to, odkud se připojují.

Scenario s.r.o.