Volgens beveiligingsleverancier Kaspersky ontdekte het tijdens het volgen van de Trojan Triada, die eerder vooraf was geïnstalleerd op laaggeprijsde Android-apparaten, verder een achterdeur op firmwareniveau genaamd "Keenadu" die een groot aantal apparaten wereldwijd heeft geïnfecteerd en is ontworpen om diep in de onderste laag van het Android-systeem door te dringen zonder medeweten van de gebruiker.
Kaspersky zei dat Keenadu voorkomt in de firmware van veel (meestal naamloze) merken Android-tablets, en dat de implantatiemethode vergelijkbaar is met die van Triada: tijdens de binaire constructiefase van de firmware wordt de kwaadaardige statische bibliotheek stilletjes gekoppeld aan de systeembibliotheek libandroid_runtime.so, waardoor de "pre-embedded" wordt voltooid voordat het apparaat de fabriek verlaat. Nadat het apparaat is gestart, wordt de kwaadaardige bibliotheek in het Zygote-proces geïnjecteerd; aangezien Zygote het belangrijkste "root" -proces in het Android-systeem is om daaropvolgende systeem- en applicatieprocessen te incuberen, kan de achterdeur samen met verschillende applicaties draaien die door de gebruiker of het systeem worden gelanceerd, waardoor een diepere en bredere persistentie wordt bereikt.
De achterdeur maakt gebruik van een meerfasige architectuur, waardoor de operator het geïnfecteerde apparaat op afstand kan besturen met "vrijwel onbeperkte" controle, en verschillende kwaadaardige ladingen kan leveren om meerdere taken uit te voeren. Onder de waargenomen mogelijkheden kan met de payload worden geknoeid met browserzoekmachines, geld worden verdiend door het promoten van nieuwe applicatie-installaties, meer geheime advertentie-interacties uitvoeren, enz. Tegelijkertijd ontdekten onderzoekers ook dat de sporen ervan zijn verschenen in applicaties die worden gedistribueerd via Google Play, Xiaomi GetApps en applicatiemagazijnen van derden.
Wat de bron betreft, stelt Kaspersky dat het momenteel niet in staat is het initiële releasepunt te bepalen. Het meest waarschijnlijke scenario is dat aanvallers inbraken hebben gepleegd in belangrijke stadia van de toeleveringsketen van meerdere Android-tablets, waardoor de kwaadaardige bibliotheek in de firmware kon worden geschreven voordat de producten op de markt kwamen. Het onderzoek bracht ook aanwijzingen terug naar tabletfabrikant Alldocube: de fabrikant zou firmware-archieven publiekelijk vrijgeven voor veiligheidsbeoordeling, en Kaspersky gebruikte deze informatie om de correlatieanalyse verder uit te voeren.
Volgens telemetriegegevens van Kaspersky zijn in totaal 13.715 gebruikers wereldwijd getroffen door Keenadu en een van zijn kwaadaardige modules. Landen met geconcentreerde infecties zijn onder meer Rusland, Japan, Duitsland, Brazilië en Nederland. Kaspersky heeft momenteel een vroege waarschuwing gegeven aan relevante fabrikanten en gebruikers aanbevolen Android-beveiligingsupdates zo snel mogelijk te installeren nadat fabrikanten patches hebben gepusht; Het incident heeft eens te meer aangetoond dat aanvallers vaker misbruik maken van de complexiteit van de kernarchitectuur en beveiligingsmechanismen van Android om kwaadaardige mogelijkheden naar systeemniveaus te verplaatsen die moeilijker te detecteren en te verwijderen zijn.