Novo malware infeta milhares de dispositivos Android

Investigadores da Kaspersky identificaram um novo malware Android, designado Keenadu, que permite controlo remoto total dos dispositivos comprometidos. A ameaça foi detetada em firmware pré-instalado e em aplicações distribuídas através de lojas oficiais, incluindo o Google Play.

Segundo a análise, o Keenadu foi encontrado integrado no firmware de várias marcas de dispositivos Android, sobretudo tablets. Em alguns casos, o código malicioso terá sido inserido durante o processo de desenvolvimento. Noutras situações, foi distribuído através de atualizações Over-The-Air (OTA).

O malware concede aos operadores controlo completo do dispositivo infetado. No entanto, a principal utilização observada está associada a fraude publicitária. A Kaspersky identificou payloads capazes de sequestrar motores de pesquisa no browser, monetizar instalações de aplicações e gerar cliques fraudulentos em anúncios.

Em muitos casos, o Keenadu encontrava-se pré-instalado nos equipamentos. Paralelamente, foi também distribuído através de lojas de aplicações, disfarçado de apps de câmaras inteligentes. Aplicações fraudulentas identificadas no Google Play terão sido descarregadas mais de 300 mil vezes antes de serem removidas.

A Kaspersky detetou infeções em cerca de 13 mil dispositivos, com maior incidência na Rússia, Japão, Alemanha, Brasil e Países Baixos.

De acordo com a empresa, uma cópia do backdoor é carregada no espaço de memória de cada aplicação no momento do arranque. Em algumas versões de firmware, o Keenadu estava integrado em utilitários críticos do sistema, incluindo serviços de reconhecimento facial e aplicações launcher.

A Kaspersky indica que existem evidências que apontam para origem chinesa da ameaça. A empresa confirma ligações entre Triada, Vo1d, BadBox e Keenadu, mas sublinha que essas relações não implicam necessariamente uma coordenação direta entre todos os grupos envolvidos.