Tablets Android saem de fábrica com backdoor escondido no sistema
Uma ameaça avançada e especialmente preocupante vem sendo identificada em tablets com Android: o backdoor Keenadu, embutido diretamente no firmware dos aparelhos e entregue inclusive por meio de atualizações OTA (Over-The-Air) assinadas digitalmente. Ou seja, o malware chega ao usuário com “selo de confiança” do próprio sistema, o que coloca em xeque a segurança da cadeia de fornecimento desses dispositivos.
A análise conduzida por pesquisadores de segurança revelou a presença do Keenadu em firmwares de diferentes fabricantes, entre eles o modelo Alldocube iPlay 50 mini Pro. Há registros de comprometimento desde, pelo menos, agosto de 2023. Em todos os casos verificados, o firmware modificado mantinha uma assinatura digital válida, o que indica que a infecção ocorreu em um ponto muito sensível do processo de desenvolvimento ou distribuição do software.
O ponto mais alarmante é que essa adulteração acontece antes do dispositivo chegar às mãos do consumidor. Em algumas situações, o firmware já vinha comprometido de fábrica; em outras, o código malicioso era entregue posteriormente por atualização OTA aparentemente legítima. Para o usuário, não há qualquer indicativo visível de que a atualização é maliciosa – tudo parece parte do fluxo normal de manutenção do aparelho.
Para se manter invisível e com alto nível de privilégio, o Keenadu é integrado à biblioteca crítica do Android, a libandroid_runtime.so, um dos componentes centrais carregados logo na inicialização do sistema. Assim que o tablet liga, essa biblioteca é executada e, junto com ela, o malware. Em seguida, o Keenadu injeta seu código no processo Zygote, responsável por criar e iniciar todos os aplicativos no Android.
Essa etapa é estratégica: como o Zygote é o “template” a partir do qual todos os apps são gerados, qualquer código injetado nele acaba sendo replicado em cada aplicativo iniciado. Na prática, isso significa que uma instância do backdoor passa a existir em praticamente todos os processos de aplicativos rodando no dispositivo. O resultado é devastador para a segurança: o isolamento entre apps (o famoso sandbox do Android) se torna, na prática, inútil, pois o malware está presente em todos eles com acesso privilegiado.
Do ponto de vista arquitetural, o Keenadu funciona como um loader em múltiplos estágios, dividido em dois componentes principais. O primeiro é o AKServer, considerado o “cérebro” da operação: ele concentra a lógica maliciosa, gerencia o fluxo de execução e é responsável por se comunicar com a infraestrutura de comando e controle (C2). O segundo é o AKClient, injetado em cada aplicativo iniciado no dispositivo, atuando como uma ponte entre os apps e o AKServer.
Essa abordagem modular dá ao atacante uma enorme flexibilidade. Por meio do AKClient, o AKServer consegue enviar cargas sob medida para aplicativos específicos, ajustar comportamentos de acordo com o contexto, conceder ou revogar permissões arbitrariamente, rastrear a localização do aparelho, coletar dados sensíveis e exfiltrá-los de forma furtiva. Em outras palavras, o tablet passa a operar como um agente controlado remotamente, com potencial para vigilância contínua e manipulação de dados.
Para aumentar a sobrevivência e dificultar a detecção, o Keenadu foi projetado com diversos mecanismos avançados de evasão. Um deles desliga automaticamente o malware caso o idioma do sistema esteja configurado para chinês e o fuso horário corresponda à China, o que sugere uma tentativa de evitar atenção de autoridades ou analistas locais. Outro mecanismo faz com que o código interrompa sua execução se o dispositivo não tiver o Google Play ou o Google Play Services instalados, o que pode ser um critério para filtrar ambientes de teste ou dispositivos fora do perfil desejado.
Há ainda um “timer” embutido: o backdoor pode permanecer passivo por cerca de 2,5 meses antes de começar a liberar cargas maliciosas mais agressivas. Essa espera prolongada reduz a chance de o comportamento malicioso ser detectado em ferramentas automatizadas de análise (sandbox), que normalmente observam o aplicativo por um período curto. Além disso, o Keenadu utiliza infraestrutura de nuvem, como serviços de CDN da Alibaba Cloud, para distribuir seus payloads, misturando-se ao tráfego legítimo e dificultando bloqueios baseados apenas em reputação de domínio ou IP.
Entre os módulos maliciosos vinculados ao Keenadu, os pesquisadores identificaram um conjunto voltado principalmente para monetização abusiva e fraude publicitária. Um deles, associado ao Google Chrome, intercepta consultas de busca e redireciona o usuário para mecanismos alternativos, muitas vezes carregados de anúncios ou com resultados manipulados. Outro componente, chamado de Clicker Loader, executa interações automáticas com anúncios exibidos em aplicativos como YouTube, Facebook e outras plataformas, simulando cliques reais para gerar receita indevida.
Há ainda o módulo Install Monetization, especializado em simular instalações legítimas de aplicativos. Isso é usado para inflar números de campanhas de marketing e gerar comissões fraudulentas em programas de afiliados. Um módulo mais sofisticado, conhecido como Nova Clicker (ou Phantom), faz uso de técnicas de machine learning e do WebRTC para manipular anúncios de maneira ainda mais realista, adaptando seu comportamento conforme o perfil da vítima e as condições de rede. Já o módulo focado em Google Play coleta o ID de publicidade do dispositivo, um identificador valioso para rastreamento e criação de perfis detalhados dos usuários.
Embora, no momento, a maior parte da atividade observada esteja relacionada a fraude publicitária e esquemas de monetização, especialistas ressaltam que a infraestrutura técnica do Keenadu é muito mais perigosa do que isso. O mesmo mecanismo que hoje serve para cliques falsos e manipulação de anúncios pode, com poucas adaptações, ser usado para roubo de credenciais, espionagem de comunicações, acesso a mensageiros, roubo de tokens de autenticação, interceptação de SMS e até sequestro de contas.
Em termos de alcance, dados de telemetria apontam que pelo menos 13.715 usuários já foram impactados, com concentrações mais altas na Rússia, Japão, Alemanha, Brasil e Holanda. Esse número tende a ser subestimado, uma vez que nem todos os dispositivos afetados são monitorados por soluções de segurança capazes de reportar a infecção. A distribuição geográfica mostra que a ameaça não está restrita a uma região específica, reforçando o caráter global da campanha.
Outra peça importante do quebra-cabeça é a possível relação do Keenadu com outras famílias de malware conhecidas no ecossistema Android, como Triada, BADBOX, Dwphon e Vo1d. As semelhanças técnicas, infraestrutura compartilhada e padrões de comportamento sugerem que pode existir uma colaboração ou, ao menos, reuso de componentes entre diferentes grupos criminosos. Em vez de botnets isoladas, o cenário aponta para um ecossistema coordenado, no qual diferentes operadores trocam recursos, módulos e acessos a dispositivos comprometidos.
Além da infecção via firmware adulterado, foram identificados três aplicativos distribuídos pela Google Play que atuavam como vetores de disseminação ou apoio à operação: Eoolii, Ziicam e Eyeplus. Esses apps, em princípio, se apresentavam como utilitários legítimos, mas continham código associado à campanha. As análises levaram à remoção desses aplicativos da loja oficial. De acordo com informações divulgadas, dispositivos certificados que contam com o Google Play Protect ativado passaram a ter proteção contra variantes conhecidas do Keenadu, reduzindo o risco de novas infecções por essa via específica.
O que torna o Keenadu especialmente crítico é o fato de ser um malware pré-instalado em nível de firmware, operando com privilégios máximos e com capacidade de contornar o modelo tradicional de permissões do Android. Em vez de depender de autorizações explícitas do usuário para acessar câmera, microfone, localização ou arquivos, o backdoor se posiciona em um ponto da arquitetura do sistema em que praticamente tudo passa ao seu alcance. Isso abre espaço para um monitoramento quase total da atividade no dispositivo.
Por estar embutido em uma biblioteca central de runtime, o backdoor ganha acesso silencioso a dados de todos os aplicativos, consegue contornar o isolamento previsto entre processos e oferece ao atacante um canal de controle remoto difícil de ser bloqueado por soluções convencionais de segurança. Mesmo a restauração de fábrica, em muitos casos, não é suficiente para removê-lo, já que o firmware comprometido permanece como base do sistema.
As análises técnicas mostram que os desenvolvedores do Keenadu têm conhecimento profundo da arquitetura interna do Android, de seu ciclo de boot e dos mecanismos de segurança presentes na plataforma. A escolha de atacar o processo Zygote, a integração com bibliotecas críticas e o uso de técnicas elaboradas de evasão apontam para um grupo bem estruturado, com recursos e experiência acumulada em desenvolvimento de malware para dispositivos móveis.
Diante desse cenário, consumidores e empresas precisam redobrar a atenção na hora de adquirir tablets e smartphones Android, especialmente modelos de marcas menos conhecidas ou de origem pouco transparente. A simples presença de uma assinatura digital válida no firmware já não é garantia de integridade absoluta. É recomendável priorizar dispositivos com histórico consistente de atualizações e políticas claras de segurança, além de desconfiar de aparelhos muito abaixo do preço de mercado.
Para usuários comuns, algumas medidas ajudam a reduzir riscos: manter o sistema e os aplicativos sempre atualizados; ativar e não desabilitar mecanismos nativos de proteção; evitar instalar apps fora de lojas oficiais; desconfiar de permissões excessivas solicitadas por aplicativos simples; e monitorar consumo anormal de bateria, dados e desempenho, que podem indicar atividade maliciosa em segundo plano. Em ambientes corporativos, o uso de soluções de gestão de dispositivos móveis, segmentação de rede e políticas de compliance é fundamental para conter o impacto de uma eventual infecção em larga escala.
Na esfera técnica, a detecção de ameaças desse tipo exige ferramentas capazes de analisar o firmware em busca de alterações em bibliotecas de sistema e comportamento anômalo em processos-chave como o Zygote. Pesquisadores também defendem maior transparência na cadeia de produção de dispositivos Android, auditorias independentes de firmware e adoção de mecanismos de verificação mais robustos em cada etapa do ciclo de vida do software embarcado.
O caso Keenadu deixa claro que a segurança em dispositivos móveis já não pode ser vista apenas sob a ótica de aplicativos maliciosos instalados pelo usuário. A ameaça se deslocou para camadas mais profundas da pilha de software, onde o poder de dano é muito maior e a capacidade de detecção, bem menor. Entender esse novo cenário, adotar boas práticas de compra e uso de dispositivos e cobrar responsabilidade de fabricantes e parceiros de software é essencial para reduzir o espaço de atuação desse tipo de backdoor embutido.