Keenadu: novo backdoor Android embutido em firmware compromete Google Play

Pesquisadores descobriram o backdoor Keenadu embutido no firmware de tablets Android, concedendo controle total do dispositivo e capacidade de instalar apps maliciosos pela Google Play. A ameaça é persistente e sobrevive a restaurações de fábrica.

Uma nova e sofisticada ameaça Android, batizada de Keenadu, foi descoberta embutida no firmware de dispositivos de múltiplas marcas, permitindo que comprometa todos os aplicativos instalados e obtenha controle irrestrito sobre os aparelhos infectados. A descoberta, reportada pela BleepingComputer, revela uma campanha de infecção que evita as defesas tradicionais ao residir em um nível mais profundo do sistema.

Descoberta e escopo

O malware Keenadu foi identificado por pesquisadores de segurança após análises de firmware de tablets Android de marcas ainda não divulgadas publicamente. A característica mais alarmante é sua presença pré-instalada no firmware, o que significa que o malware está ativo antes mesmo do usuário iniciar o dispositivo pela primeira vez. Essa técnica de "supply chain" permite que o Keenadu sobreviva a restaurações de fábrica e evite detecção por scanners de aplicativos convencionais, já que não está instalado como um app comum na partição do usuário.

Capacidades e vetor de infecção

Uma vez ativo, o backdoor Keenadu possui um amplo leque de capacidades maliciosas. Ele pode:

Instalar aplicativos arbitrários sem a interação ou consentimento do usuário.
Executar comandos remotamente recebidos de um servidor de comando e controle (C2).
Coletar dados sensíveis do dispositivo, incluindo contatos, mensagens, histórico de navegação e credenciais.
Se registrar em serviços premium sem o conhecimento do usuário, gerando custos financeiros.
Se conectar a botnets para participar de ataques DDoS ou campanhas de spam.

O vetor de infecção inicial permanece sob investigação, mas a hipótese principal é de que o firmware comprometido seja distribuído através de canais de atualização não oficiais ou seja pré-carregado em dispositivos de fabricantes de terceira linha com controles de segurança fracos.

Impacto e alcance

A presença no firmware concede ao Keenadu privilégios de sistema (root), tornando-o extremamente persistente e difícil de remover. Usuários comuns não têm meios técnicos para expurgar o malware sem substituir o firmware oficial, um processo complexo e arriscado. A ameaça se estende à loja oficial Google Play, pois o malware pode forçar a instalação de aplicativos maliciosos disfarçados de apps legítimos, burlando os processos de revisão da plataforma.

Repercussão e mitigação

O Google foi notificado sobre a descoberta. Enquanto a empresa investiga e toma medidas para identificar e remover aplicativos relacionados ao Keenadu da Play Store, os usuários são aconselhados a:

Adquirir dispositivos de fabricantes renomados e de canais de venda oficiais.
Evitar atualizar o firmware a partir de fontes não confiáveis ou sites de terceiros.
Monitorar permissões de aplicativos e comportamentos anormais no dispositivo, como instalações não solicitadas ou consumo excessivo de dados.
Considerar soluções de segurança móvel de fornecedores consolidados que possam detectar atividades maliciosas em nível de sistema.

A descoberta do Keenadu ressalta os riscos persistentes na cadeia de suprimentos de dispositivos móveis e a necessidade de maior escrutínio sobre o firmware que equipa milhões de aparelhos.