Mã độc Android Keenadu: Nguy hiểm chiếm quyền điều khiển

Một mối đe dọa mạng mới và tinh vi đang nhắm mục tiêu vào các thiết bị Android đã được phát hiện, có khả năng lây nhiễm firmware ngay từ giai đoạn sản xuất và phát tán qua các ứng dụng trên Google Play. Mã độc Android này cho phép kẻ tấn công kiểm soát từ xa hoàn toàn máy tính bảng và điện thoại của nạn nhân.

Cơ chế lây nhiễm và hoạt động của mã độc Android Keenadu

Phân tích chi tiết được công bố vào ngày 16 tháng 2 năm 2026, đã tiết lộ cách thức hoạt động của mối đe dọa này. Nó mô phỏng theo mã độc Triada Trojan bằng cách móc nối vào tiến trình Zygote, một tiến trình quan trọng trong Android chịu trách nhiệm khởi chạy tất cả các ứng dụng, từ đó xâm phạm mọi ứng dụng được mở.

Vào tháng 4 năm 2025, Kaspersky đã báo cáo về việc Triada xâm phạm firmware trên các thiết bị Android giả mạo, đánh cắp thông tin đăng nhập qua việc lây nhiễm Zygote. Sự kiện này đã dẫn đến việc kiểm tra sâu hơn, từ đó phát hiện ra Keenadu trong firmware của một số thương hiệu như Alldocube. Xem thêm chi tiết về phân tích của Kaspersky tại Securelist.

Kỹ thuật nhúng và triển khai

Backdoor Keenadu nhúng một thư viện tĩnh độc hại, libVndxUtils.a, vào libandroid_runtime.so trong quá trình biên dịch firmware. Điều này cho phép mã độc được tích hợp sâu vào hệ điều hành trước khi thiết bị được phân phối.

Một khi được triển khai, thường thông qua các bản cập nhật OTA, mã độc sẽ giải mã payload bằng thuật toán RC4, sau đó tải chúng vào /data/dalvik-cache/ thông qua DexClassLoader. Nó thiết lập một kiến trúc client-server với AKClient trong các ứng dụng và AKServer trong system_server, tạo ra một kênh giao tiếp mạnh mẽ và ổn định.

Phương pháp Dropper và né tránh

Thành phần dropper của Keenadu trong libandroid_runtime.so sửa đổi phương thức println_native để gọi hàm __log_check_tag_count. Hàm này sau đó giải mã và thực thi com.ak.test.Main, là thành phần chính của mã độc Android này.

Keenadu có khả năng né tránh các ứng dụng của Google, Sprint và T-Mobile cùng các cơ chế ngắt hoạt động (kill switches) của chúng. Nó sử dụng giao tiếp binder IPC để kiểm soát liên tiến trình, cho phép nó duy trì hoạt động và kiểm soát trên hệ thống.

Cơ chế chiếm quyền điều khiển và giao tiếp C2

AKServer phát sóng các giao diện để cấp/thu hồi quyền, truy xuất vị trí địa lý và đánh cắp dữ liệu. Trong khi đó, MainWorker truy vấn các máy chủ C2 (Command and Control) mà địa chỉ của chúng được giải mã từ khóa AES-128, với các khóa được tạo ra từ MD5 của chuỗi “ota.host.ba60d29da7fd4794b5c5f732916f7d5c”.

Các payload bị chặn nhắm mục tiêu vào nhiều ứng dụng khác nhau. Chúng có thể bao gồm việc chiếm quyền tìm kiếm trên trình duyệt Chrome thông qua giám sát thanh URL (url_bar monitoring), kiếm tiền từ việc cài đặt ứng dụng thông qua theo dõi phiên (session tracking) trên các launcher, và tải APK cho các ứng dụng mua sắm như Amazon, SHEIN, Temu. Các module như Nova/Phantom clicker sử dụng ML/WebRTC cho gian lận quảng cáo. Các module khác có thể được nhúng vào các ứng dụng nhận diện khuôn mặt (ví dụ: com.aiworks.faceidservice) hoặc launcher.

Trước khi thực thi, các payload của mã độc Android này được kiểm tra tính hợp lệ bằng chữ ký số DSA, kiểm tra MD5 và giải mã bằng AES, đảm bảo chỉ các payload hợp lệ từ kẻ tấn công mới được chạy.

IOCs (Indicators of Compromise)

Các chỉ số thỏa hiệp sau đây đã được xác định liên quan đến mã độc Android Keenadu:

• MD5 của thư viện độc hại: ca98ae7ab25ce144927a46b7fee6bd21 (libVndxUtils.a)
• MD5 của module nhận diện khuôn mặt: d840a70f2610b78493c41b1a344b6893 (com.aiworks.faceidservice)
• Địa chỉ C2 liên quan: zcnewy[.]com
• Tên phát hiện của Kaspersky:
  • HEUR:Backdoor.AndroidOS.Keenadu.
  • Trojan-Downloader.AndroidOS.Keenadu.
  • Trojan-Dropper.AndroidOS.Gegu.*

Nguy cơ chuỗi cung ứng và liên kết với các mã độc khác

Bằng chứng về sự thỏa hiệp chuỗi cung ứng là rất rõ ràng. Các firmware đã ký của Alldocube (ví dụ: iPlay 50 mini Pro T811M từ tháng 8 năm 2023) đã bao gồm backdoor này. Các đường dẫn nguồn như D:\work\git\zh\os\ak-client tiết lộ các artifact của nhà phát triển. Dữ liệu từ Kaspersky cho thấy các trường hợp lây nhiễm vượt ra ngoài máy tính bảng Alldocube.

Các ứng dụng độc lập trên Google Play (ví dụ: phần mềm camera thông minh với hơn 300.000 lượt tải xuống) và Xiaomi GetApps cũng nhúng các module như Nova clicker thông qua các dịch vụ như com.arcsoft.closeli.service.KucopdInitService. Google đã gỡ bỏ các ứng dụng này sau khi nhận được thông báo.

Keenadu có liên quan đến các botnet Triada, BADBOX và Vo1d thông qua việc chia sẻ mã nguồn, trùng lặp máy chủ C2 (ví dụ: zcnewy[.]com) và các payload được thả. BADBOX triển khai các trình tải của Keenadu, trong khi Triada chia sẻ các công cụ đánh cắp thông tin đăng nhập. Chi tiết thêm về BADBOX có thể tìm thấy tại Cybersecurity News.

Nạn nhân và biện pháp khắc phục

Hơn 13.715 nạn nhân trên toàn thế giới đã bị ảnh hưởng bởi mã độc Android này, với số lượng cao nhất được ghi nhận ở Nga, Nhật Bản, Đức và Brazil.

Các bước khắc phục

Để giảm thiểu rủi ro từ Keenadu, cần thực hiện các biện pháp sau:

• Cập nhật Firmware: Nếu có sẵn các phiên bản firmware sạch, hãy cập nhật thiết bị của bạn ngay lập tức. Các bản cập nhật này thường bao gồm các bản vá bảo mật quan trọng.
• Vô hiệu hóa ứng dụng hệ thống bị nhiễm: Sử dụng lệnh ADB (Android Debug Bridge) để vô hiệu hóa các ứng dụng hệ thống bị nghi ngờ nhiễm độc.

adb shell pm disable com.aiworks.faceidservice

• Gỡ cài đặt ứng dụng sideloaded: Xóa bỏ bất kỳ ứng dụng nào được cài đặt từ các nguồn không đáng tin cậy hoặc thông qua sideloading.
• Tránh sử dụng thiết bị: Nếu không có bản vá hoặc giải pháp rõ ràng, nên tránh sử dụng thiết bị cho đến khi vấn đề được khắc phục hoàn toàn để ngăn chặn việc rò rỉ dữ liệu hoặc kiểm soát trái phép.

Mối đe dọa này nhấn mạnh rủi ro từ chuỗi cung ứng firmware, đòi hỏi các nhà cung cấp phải tiến hành kiểm tra kỹ lưỡng và áp dụng các cơ chế khởi động được xác minh (verified boots) để đảm bảo tính toàn vẹn của phần mềm được cài đặt trên thiết bị.