کشف یک درِ پشتی جدید در تبلت‌های اندرویدی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در گزارشی که این هفته منتشر شد، شرکت امنیت سایبری روسی کسپرسکی (Kaspersky) اعلام کرد یک درِ پشتی مستندنشده با نام کینادو (Keenadu) را شناسایی کرده است.

برخلاف بدافزارهای معمول که کاربران ناخواسته آن‌ها را دانلود می‌کنند، کینادو مستقیماً در نرم‌افزار اصلی دستگاه تعبیه شده و می‌تواند در هر برنامه‌ای که روی تبلت اجرا می‌شود بارگذاری شود.

پژوهشگران اعلام کردند:

کینادو یک درِ پشتی تمام‌عیار است که به مهاجمان امکان می‌دهد تقریباً کنترل نامحدودی بر دستگاه قربانی به دست آورند.

کسپرسکی گزارش داد که بیش از ۱۳٬۷۰۰ کاربر در سراسر جهان با کینادو یا ماژول‌های وابسته به آن مواجه شده‌اند.

بیشترین موارد شناسایی در روسیه، ژاپن، آلمان، برزیل و هلند ثبت شده است.

این بدافزار عمدتاً برای تقلب تبلیغاتی استفاده می‌شد.

ماژول‌های مرتبط با کینادو قادر بودند موتورهای جست‌وجوی مرورگر را ربوده، نصب برنامه‌های جدید را پایش کرده و با مؤلفه‌های تبلیغاتی تعامل کنند تا درآمد جعلی ایجاد شود.

در برخی موارد، کاربران گزارش داده‌اند که تبلت‌های آلوده بدون اطلاع آن‌ها کالاهایی را به سبد خرید فروشگاه‌های آنلاین اضافه کرده‌اند.

طبق این گزارش، بدافزار در فریم‌ور تبلت‌های چندین تولیدکننده، از جمله شرکت چینی آلداکیوب (Alldocube)، یافت شده است.

این شرکت پیش‌تر وجود مشکل بدافزاری در یکی از مدل‌های خود را تأیید کرده بود، اما کسپرسکی اعلام کرد نسخه‌های بعدی فریم‌ور آن دستگاه — حتی نسخه‌هایی که پس از افشای عمومی منتشر شدند — همچنان آلوده باقی مانده‌اند.

پژوهشگران همچنین اعلام کردند کینادو در سخت‌افزار تولیدکنندگان دیگری نیز یافت شده، اما نام آن‌ها را ذکر نکردند. این شرکت اعلام کرد فروشندگان آسیب‌دیده را مطلع کرده است.

بر اساس ارزیابی پژوهشگران، این بدافزار احتمالاً در مرحله ساخت فریم‌ور و از طریق زنجیره تأمین آلوده وارد سیستم‌های هدف شده است؛ به این معنا که دستگاه‌ها ممکن است پیش از رسیدن به مشتریان آلوده شده باشند.

کسپرسکی اعلام کرد:

ممکن است تولیدکنندگان از آلوده بودن دستگاه‌های خود پیش از عرضه به بازار بی‌اطلاع بوده باشند.

چندین گونه از این درِ پشتی شناسایی شده است.

قدرتمندترین نسخه مستقیماً در فریم‌ور دستگاه تعبیه شده بود.

گونه‌های دیگر در برنامه‌ها پنهان شده بودند، از جمله یک اپلیکیشن تشخیص چهره برای باز کردن قفل دستگاه، و حتی در برنامه‌هایی که از طریق فروشگاه‌های رسمی مانند گوگل پلی (Google Play) و مخازن شخص ثالث توزیع می‌شدند.

پژوهشگران این کارزار را به عامل تهدید خاصی نسبت ندادند، اما اعلام کردند توسعه‌دهندگان آن «درک عمیقی از معماری اندروید، فرآیند راه‌اندازی برنامه‌ها و اصول اصلی امنیتی سیستم‌عامل» داشته‌اند.

این بدافزار به‌گونه‌ای طراحی شده که از برخی مناطق اجتناب کند.

کینادو تنظیمات زبان و منطقه زمانی دستگاه را بررسی می‌کند و اگر زبان رابط کاربری یکی از گویش‌های چینی باشد و دستگاه در منطقه زمانی چین قرار داشته باشد، فعالیت خود را متوقف می‌کند.

همچنین روی دستگاه‌هایی که فاقد فروشگاه گوگل پلی یا خدمات گوگل پلی باشند، غیرفعال می‌ماند.

عملیات کینادو شباهت‌هایی با آلودگی سال ۲۰۲۵ مربوط به درِ پشتی تریادا (Triada) دارد که خود را در فریم‌ور دستگاه‌های اندرویدی تقلبی فروخته‌شده از طریق بازارهای بزرگ آنلاین جای داده بود و به مهاجمان اجازه می‌داد اطلاعات کاربری برنامه‌های پیام‌رسان و شبکه‌های اجتماعی را سرقت کنند.

به گفته پژوهشگران، از آنجا که کینادو در سطح فریم‌ور تعبیه شده، با ابزارهای امنیتی استاندارد اندروید قابل حذف نیست.

آن‌ها توصیه کرده‌اند نسخه‌ای پاک از فریم‌ور را از منبعی معتبر نصب کنید.

در برخی موارد نیز، تعویض کامل دستگاه ممکن است امن‌ترین گزینه باشد.