Môžete používať akokoľvek dobrý antivírusový program, ak je firmvér vášho zariadenia nakazený škodlivým kódom „priamo z výroby“, nepomôže vám. A to sa čas od času stáva najmä pri zariadeniach s Androidom. Najnovším príkladom je malvérová rodina Keenadu, ktorú bezpečnostní analytici opísali ako viacvrstvový backdoor (zadné vrátka) schopný preniknúť až do firmvéru niektorých androidových tabletov. To je pomerne nebezpečné, pretože firmvér bežný používateľ nedokáže jednoduchými prostriedkami opraviť a ani „preinštalovaním aplikácií“ vyčistiť. Zamerali sa naň výskumníci zo spoločnosti Kaspersky, ktorí svoje zistenia publikovali 17. februára.

Keenadu je nebezpečný najmä tým, že sa vie naviazať na kľúčové systémové komponenty a následne zasahovať do fungovania prakticky akejkoľvek aplikácie. Podľa odbornej analýzy dokáže škodlivý kód preniknúť do procesu, z ktorého sa v systéme spúšťa väčšina aplikácií. Ak je kompromitovaný tento základ, malvér môže v praxi ovplyvniť správanie aplikácií naprieč celým zariadením – od zobrazovania reklamy až po prístup k citlivým údajom.

Najvážnejší scenár šírenia spočíva v tom, že Keenadu sa do zariadenia dostane už počas výroby, respektíve integrácie softvéru, a následne je prítomný priamo vo firmvéri. V takom prípade sa môže šíriť aj cez aktualizácie, ktoré používateľ vníma ako štandardné a bezpečné. Podľa spoločnosti Kaspersky boli takto infikovaných „tisíce“ zariadení.

Malvér dokáže zasahovať aj do fungovania aplikácií a služieb, ako sú Amazon, Shein, Temu, YouTube či Facebook. V praxi to umožňuje automatizovať falošnú aktivitu – napríklad generovať kliky na reklamy, presmerovať vyhľadávanie v prehliadači alebo umelo vytvárať „inštalácie“ aplikácií, aby útočníci inkasovali provízie z reklamných a partnerských systémov. Zaznamenané boli aj prípady, keď infikované zariadenia bez vedomia používateľa pridávali produkty do nákupných košíkov v online obchodoch.

Hoci aktuálne kampane mali často finančný motív v podobe vyššie spomenutého šírenia reklamy a advéru, schopnosti Keenadu sú širšie. Malvér môže do postihnutého zariadenia napríklad „pustiť“ ďalší škodlivý softvér, meniť nastavenia, zneužívať oprávnenia a kradnúť dáta. V analýzach sa zároveň objavuje prepojenie na známe Android botnety a backdoor ekosystémy, ako sú Triada či BadBox, čo naznačuje dlhodobejší charakter útokov.

Bezpečnostní experti uvádzajú že poškodených zariadení sú tisíce a odhalili ich naprieč viacerými krajinami, čo podčiarkuje, že nejde o problém jedného lokálneho trhu. Navyše hrozba stále trvá. Pokiaľ sú totiž v obehu zariadenia s infikovaným firmvérom, tak neexistuje pre ne „čistá“ aktualizácia. Kaspersky priamo upozorňuje, že ak je kompromitovaná systémová knižnica vo firmvéri, bežnými nástrojmi Androidu sa to nedá odstrániť bez výmeny/aktualizácie firmvéru a odporúča zariadenie nepoužívať, kým sa firmvér kompletne nepreinštaluje.

Zároveň v správe Kaspersky popisuje prípady, keď sa kompromitovaný firmvér objavil aj cez OTA aktualizácie (aktualizácie na diaľku) a pri niektorých modeloch mali byť infikované aj viaceré po sebe idúce verzie firmvéru, čo zvyšuje riziko „pretrvávania“ problému, kým výrobca nevydá preukázateľne „čistú“ verziu.