Nell’immaginario collettivo, la sicurezza informatica dei dispositivi mobili dipende in gran parte dalla prudenza dell’utente: evitare click avventati, non scaricare allegati sospetti e diffidare dagli store non ufficiali.
Tuttavia, una recente indagine condotta dai ricercatori di Kaspersky ha portato alla luce uno scenario ben più insidioso, in cui la minaccia non arriva dall’esterno ma è già residente nel dispositivo al momento dell’acquisto.
È stata infatti individuata una backdoor, denominata Keenadu, inserita direttamente nel firmware di diverse migliaia di tablet Android prima ancora che questi raggiungessero gli scaffali dei negozi o le mani dei consumatori.
Keenadu è una backdoor preinstallata in migliaia di tablet Android
Secondo quanto riportato dagli esperti di sicurezza, il malware non infetta il dispositivo in un secondo momento, ma risulta inserito all’interno del software di sistema durante il processo di compilazione.
Una volta attivato il tablet, la backdoor inietta il proprio codice malevolo nel processo Zygote di Android. Trattandosi del processo primario responsabile dell’avvio di ogni altra applicazione sul dispositivo, questa posizione garantisce agli attaccanti una visibilità e un controllo quasi totali sul sistema operativo.
Keenadu è in grado di operare silenziosamente per scaricare moduli aggiuntivi, dirottare le ricerche del browser, monitorare l’installazione di app per generare profitti illeciti e interagire forzatamente con elementi pubblicitari, agendo con privilegi che una normale applicazione infetta non potrebbe mai ottenere.
Il caso Alldocube e la diffusione in Europa
Le analisi hanno identificato un esempio concreto di questa compromissione nel tablet Alldocube iPlay 50 mini Pro. I ricercatori hanno riscontrato la presenza della backdoor in tutte le versioni del firmware esaminate, incluse quelle rilasciate dal produttore successivamente alle prime segnalazioni del problema.
Un dettaglio tecnicamente rilevante è che i file infetti presentavano firme digitali valide; questo elemento suggerisce che non si sia trattato di una manomissione esterna post-produzione, ma di una compromissione avvenuta a monte, direttamente nella catena di approvvigionamento del software.
La diffusione di Keenadu non è un fenomeno isolato. Kaspersky ha rilevato oltre 13.000 utenti colpiti a livello globale. Sebbene i numeri più alti siano stati registrati in Russia, Giappone e Brasile, la minaccia ha toccato significativamente anche il suolo europeo, con numerose infezioni riscontrate in Germania e nei Paesi Bassi.
Gli analisti hanno inoltre collegato questa minaccia ad altre note famiglie di botnet Android, come Triada, BadBox e Vo1d, delineando un ecosistema criminale interconnesso e persistente.
Le contromisure e la risposta di Google
Fortunatamente, il problema sembra circoscritto a produttori di fascia economica e brand minori, risparmiando al momento i marchi leader del settore. Tuttavia, per chi possiede dispositivi low-cost di brand poco noti, il rischio rimane tangibile.
Google è intervenuta sulla questione rassicurando l’utenza tramite un portavoce, il quale ha confermato che Google Play Protect è in grado di riconoscere e neutralizzare le varianti note di questo malware.
Il sistema di protezione, attivo di default sui dispositivi certificati, può avvisare gli utenti e disabilitare le applicazioni che mostrano comportamenti associabili a Keenadu, anche se queste provengono da fonti esterne al Play Store.
Inoltre, le app malevole identificate nel report presenti sullo store ufficiale sono state prontamente rimosse. La raccomandazione per gli utenti rimane quella di verificare la certificazione Play Protect del proprio dispositivo e installare immediatamente eventuali aggiornamenti firmware bonificati rilasciati dai produttori.
