Prima di procedere
I ricercatori di Kaspersky hanno recentemente lanciato un allarme riguardante Keenadu, un nuovo e insidioso malware che colpisce i dispositivi Android. Questo malware si presenta come una backdoor, e la sua particolarità risiede nel fatto che infetta i dispositivi, prevalentemente tablet, direttamente nelle fabbriche di produzione. Secondo quanto riportato, il software malevolo è integrato direttamente nel firmware dei dispositivi, rendendo la sua rimozione particolarmente complessa.
Sebbene i dettagli specifici su marche e modelli dei dispositivi infetti siano limitati, l'unico esempio citato, l'Alldocube iPlay 50 mini Pro, suggerisce che il problema riguarda principalmente dispositivi cinesi economici e generici. Questa tipologia di dispositivi, spesso caratterizzata da un basso costo e specifiche tecniche modeste, potrebbe non ricevere gli stessi controlli di sicurezza e aggiornamenti software dei dispositivi di marca più blasonata, rendendoli più vulnerabili ad attacchi di questo tipo.
Una volta attivato, il codice malevolo si inietta nel processo di sistema Zygote, un componente fondamentale di Android responsabile dell'avvio di tutte le applicazioni. Operare a questo livello conferisce al malware una visibilità e un controllo estesi sull'intero sistema operativo. Secondo Kaspersky, la backdoor è in grado di scaricare moduli aggiuntivi che possono reindirizzare le ricerche nel browser, installare app pubblicitarie indesiderate e cliccare su banner e annunci pubblicitari, il tutto all'insaputa dell'utente. È importante notare che tutte le versioni del firmware di Alldocube iPlay 50 mini Pro risultano infette, comprese quelle rilasciate dopo le prime segnalazioni, il che indica una persistenza del problema e una potenziale difficoltà nel risolverlo completamente.
La scoperta di Keenadu solleva interrogativi significativi sulla sicurezza della catena di approvvigionamento dei dispositivi Android, in particolare per quanto riguarda i produttori meno conosciuti e i dispositivi di fascia bassa. La compromissione del firmware, il software di base che controlla l'hardware del dispositivo, è particolarmente preoccupante perché rende estremamente difficile la rimozione del malware e può compromettere la sicurezza dell'intero sistema. L'iniezione nel processo Zygote, inoltre, permette al malware di agire in modo subdolo e persistente, monitorando l'attività dell'utente e manipolando il sistema senza che l'utente se ne accorga.
Un aspetto particolarmente allarmante è che i file del malware risultavano firmati digitalmente in modo valido. Questo elemento esclude la possibilità di manomissioni successive e rafforza l'ipotesi di una compromissione nelle fasi iniziali del processo di realizzazione dei dispositivi, verosimilmente durante lo sviluppo o la compilazione del software operativo. Ciò implica che il malware potrebbe essere stato inserito intenzionalmente nella catena di produzione, o che i sistemi di sicurezza dei produttori sono stati compromessi. Kaspersky stima che oltre 13.700 utenti a livello globale siano stati colpiti da Keenadu, con una maggiore incidenza in paesi come la Russia, il Giappone, la Germania, il Brasile e i Paesi Bassi. Inoltre, i ricercatori hanno osservato che il codice del malware presenta diverse similitudini con quello avvistato in altre famiglie di botnet già note nel panorama Android, suggerendo un possibile collegamento tra diverse campagne di malware.
Fortunatamente, ci sono anche alcune buone notizie. Google ha dichiarato che le versioni conosciute del malware sono intercettate automaticamente da Play Protect, il sistema di sicurezza integrato in tutti i dispositivi con Google Play Services. Inoltre, le app malevole correlate identificate sul Play Store sono state rimosse. Tuttavia, è importante sottolineare che Play Protect potrebbe non essere sufficiente a proteggere completamente gli utenti, soprattutto se il malware è in grado di evolversi e aggirare i controlli di sicurezza. La situazione mette in discussione l'affidabilità di questi dispositivi generici di produttori minori, e non è la prima volta che si verificano casi del genere. La mancanza di controlli di sicurezza adeguati e la scarsa attenzione agli aggiornamenti software rendono questi dispositivi particolarmente vulnerabili ad attacchi informatici.
Per proteggersi da minacce come Keenadu, è fondamentale adottare alcune precauzioni di base. Innanzitutto, è consigliabile acquistare dispositivi solo da produttori affidabili e con una solida reputazione in termini di sicurezza. In secondo luogo, è importante mantenere il sistema operativo e le app sempre aggiornati, in modo da correggere eventuali vulnerabilità di sicurezza. Infine, è consigliabile installare un software antivirus affidabile e attivare le funzionalità di sicurezza integrate nel dispositivo, come Google Play Protect. Gli utenti dovrebbero sempre fare attenzione alle autorizzazioni richieste dalle app, evitare di scaricare app da fonti non attendibili e monitorare attentamente l'attività del dispositivo per individuare eventuali comportamenti sospetti.
