Kaspersky, 17 Şubat 2026’da yayımladığı araştırmada “Keenadu” adını verdiği yeni bir Android arka kapının bazı tabletlerin firmware’ine fabrikada, derleme aşamasında yerleştirildiğini doğruladı. Zararlı kod, libandroid_runtime.so kütüphanesine gizlice linklenen statik bir bileşen üzerinden sisteme sızıyor ve Triada’nın izlediği yönteme benzer biçimde Android’in Zygote sürecine enjekte olarak her uygulamanın başlatılışına kendini dahil ediyor. Bu da saldırganlara cihaz üzerinde kalıcı ve geniş yetkiler sağlıyor.
Analiz sırasında araştırmacılar, saldırganların libandroid_runtime.so içine kötü amaçlı çağrıyı sokmak için libVndxUtils.a adlı statik bir kütüphaneyi kullandığını buldu. Keenadu’nun bazı durumlarda OTA güncellemeleriyle de son kullanıcıya ulaştığı görülse de, tüm imajların geçerli üretici imzası taşıması nedeniyle sorun basit bir “sunucuya sızma” değil; tedarik zincirinde, derleme hattında gerçekleşen bir kompromiye işaret ediyor.
Etkilenen markaların çoğu açıklanmadı; ancak Alldocube iPlay 50 mini Pro ve iPlay 50 mini Pro NFE için yayımlanan birtakım firmware sürümlerinde Keenadu tespit edildi. NFE modelinin ilk yazılımı (7 Kasım 2023) temizken, sonrasında yayımlanan tüm sürümlerde (20 Mayıs 2024 dahil) arka kapı bulundu. Bu bulgular, imzalı güncellemelerle gelen yazılımların dahi derleme aşamasında zehirlenmiş olabileceğini gösteriyor.
Keenadu yalnızca sistem kütüphanesine gömülü kalmıyor; modüler yapısıyla farklı yükler indiriyor. Örneğin Chrome modülü, tarayıcının adres/arama çubuğuna girilen sorguları izleyebiliyor ve arama sonuçlarını farklı bir arama motoruna yönlendirebiliyor. “Install monetization” modülü yeni uygulama kurulumlarını para kazanma amaçlı izleyip ilgili reklam bağlantılarını tetikleyebiliyor. Araştırma sırasında, “Nova/Phantom” adlı tıklama hilesi modülü ve Google Play’e yönelik bir modül de yakalandı. Ayrıca bazı trojanlı uygulamaların Xiaomi GetApps ve Google Play gibi resmi mağazalara kadar sızdığı tespit edildi.
Kaspersky’nin telemetrisi, Keenadu veya modülleriyle karşılaşan kullanıcı sayısının dünya genelinde 13.715 olduğunu; en çok vakaların Rusya, Japonya, Almanya, Brezilya ve Hollanda’da görüldüğünü gösteriyor. Araştırmaya göre Keenadu, Triada, BADBOX ve Vo1d gibi büyük Android botnet aileleriyle de bağlantılar kuruyor.
Dikkat çekici bir başka ayrıntı: Keenadu, cihazın arayüz dili bir Çin lehçesine ayarlıysa ve saat dilimi Çin’e aitse çalışmayı sonlandırıyor. Ayrıca Google Play Store ya da Google Play Services yüklü değilse etkinleşmiyor. Bu kontrolleri geçen cihazlarda zararlı, komuta-kontrol adreslerini çözerek modülleri çekmeye başlıyor.
Modern Android sürümlerinde sistem bölümü salt-okunur olduğundan, libandroid_runtime.so enfekteyse bunu klasik yöntemlerle temizlemek mümkün değil; hatalı bir müdahale cihazın hiç açılmamasına yol açabiliyor. Bu nedenle üreticiden temiz bir firmware beklemek ya da doğru prosedürle yeniden yazılım yüklemek dışında kalıcı çözüm bulunmuyor.
Kimler riskte, ne yapmalı?
Şu an tablo daha çok daha az bilinen, uygun fiyatlı Android tabletleri işaret ediyor; büyük ve üst seviye markalarda doğrulanmış bir vaka paylaşılmadı. Yine de küçük markalı bir Android tablet kullanıyorsanız güncellemeleri hemen kontrol etmekte fayda var.
- Ayarlar > Sistem > Yazılım güncelleme bölümünden üreticinin yayımladığı en güncel sürümü kurun. Temiz bir sürüm çıkmış olabilir.
- Temiz güncelleme yoksa ve mümkünse üreticinin orijinal imajıyla flash atmayı değerlendirin; yanlış işlem cihazı kullanılamaz hale getirebilir.
- Temizleme mümkün değilse cihazı kullanmayı bırakın; özellikle bankacılık, mesajlaşma ve kişisel verilerden uzak tutun.
- Sistem uygulaması enfekteyse, alternatif bir uygulama kullanın ve gerekirse ADB ile sorunlu paketi devre dışı bırakın.
- Uygulama kaynaklarını sınırlandırın; üçüncü taraf mağazalardan uzak durun. Resmi mağazalarda dahi trojanlı örnekler görülebildiğini unutmayın.
Kısacası Keenadu, “cihaz kutudan çıkmadan önce” sisteme kök salan ve reklam dolandırıcılığından veri hırsızlığına uzanan işleri sessizce yürüten, tedarik zinciri seviyesinde gerçekleşmiş sinsi bir arka kapı. Etkilendiğinden şüphelenen kullanıcılar, üretici güncellemelerini beklemeli ya da güvenli biçimde temiz firmware yükleyene kadar cihazı kritik işlemlerden uzak tutmalı.
Kaynak: www.techspot.com