Theo báo cáo của Kaspersky, mã độc Keenadu không lây lan vào máy tính bảng Android theo cách thông thường qua ứng dụng tải về hoặc tệp đính kèm độc hại. Thay vào đó, mã độc được nhúng sẵn trong phần mềm hệ thống của một số sản phẩm, đồng nghĩa người dùng có thể mua phải thiết bị đã bị cài cửa hậu từ giai đoạn sản xuất mà không hề hay biết.
Khi hoạt động, Keenadu chèn vào tiến trình Zygote - thành phần cốt lõi chịu trách nhiệm khởi chạy mọi ứng dụng trên Android. Việc can thiệp ở cấp độ hệ thống cho phép mã độc mở rộng quyền kiểm soát, theo dõi hoạt động trên thiết bị và tải thêm các mô-đun phục vụ mục đích trục lợi. Các chức năng được ghi nhận gồm chuyển hướng tìm kiếm trên trình duyệt, giám sát quá trình cài đặt ứng dụng và tương tác với các thành phần quảng cáo.
Một trường hợp cụ thể được xác nhận liên quan đến firmware của mẫu Alldocube iPlay 50 mini Pro. Nhóm nghiên cứu cho biết tất cả phiên bản firmware họ kiểm tra đều chứa mã độc, kể cả những bản phát hành sau khi nhà cung cấp đã thừa nhận tồn tại vấn đề bảo mật. Đáng chú ý, các tệp firmware này đều có chữ ký số hợp lệ, chứng tỏ mã độc nhiều khả năng đã được chèn vào trong quá trình phát triển hoặc xây dựng phần mềm thay vì bị can thiệp sau khi phát hành.
Không phải mọi máy tính bảng Android đều nguy hiểm
Kaspersky ước tính có 13.715 người dùng trên toàn cầu đã gặp Keenadu hoặc các biến thể liên quan, tập trung tại Nga, Nhật Bản, Đức, Brazil và Hà Lan. Công ty cũng nhận định mã độc này có liên hệ với các họ botnet Android từng được ghi nhận như Triada, BadBox và Vo1d.
Sau khi thông tin được công bố, đại diện Google cho biết người dùng Android vẫn được bảo vệ trước các biến thể đã biết của Keenadu thông qua Google Play Protect - tính năng bảo mật được bật mặc định trên các thiết bị có Google Play Services. Theo Google, Play Protect có thể cảnh báo và vô hiệu hóa các ứng dụng có hành vi liên quan đến Keenadu, kể cả khi được cài từ nguồn ngoài Google Play. Ba ứng dụng được xác định chứa mã độc trong báo cáo cũng đã bị gỡ khỏi Google Play.
Hiện chưa có dấu hiệu cho thấy các thương hiệu Android lớn bị ảnh hưởng diện rộng. Các trường hợp được xác nhận chủ yếu liên quan đến nhà sản xuất ít tên tuổi, vì vậy người dùng nên cẩn trọng khi mua sắm để tránh rủi ro.
