Selon le fournisseur de sécurité Kaspersky, lors du suivi du cheval de Troie Triada, qui était auparavant préinstallé sur des appareils Android à bas prix, il a en outre découvert une porte dérobée au niveau du micrologiciel appelée « Keenadu » qui a infecté un grand nombre d'appareils dans le monde et est conçue pour pénétrer profondément dans la couche inférieure du système Android à l'insu de l'utilisateur.

Kaspersky a déclaré que Keenadu apparaît dans le firmware de nombreuses marques (pour la plupart anonymes) de tablettes Android, et que sa méthode d'implantation est similaire à Triada : pendant la phase de construction binaire du firmware, la bibliothèque statique malveillante est silencieusement liée à la bibliothèque système libandroid_runtime.so, complétant ainsi le "pré-intégré" avant que l'appareil ne quitte l'usine. Une fois l'appareil démarré, la bibliothèque malveillante sera injectée dans le processus Zygote ; Étant donné que Zygote est le processus « racine » clé du système Android pour incuber les processus ultérieurs du système et des applications, la porte dérobée peut fonctionner avec diverses applications lancées par l'utilisateur ou le système, obtenant ainsi une persistance plus profonde et plus large.

La porte dérobée adopte une architecture en plusieurs étapes, permettant à l'opérateur de contrôler à distance l'appareil infecté avec un contrôle « presque illimité », et peut fournir différentes charges utiles malveillantes pour effectuer plusieurs tâches. Parmi les capacités observées, la charge utile peut être altérée par les moteurs de recherche des navigateurs, monétisée en favorisant l'installation de nouvelles applications, mener des interactions publicitaires plus secrètes, etc. Dans le même temps, les chercheurs ont également découvert que ses traces sont apparues dans des applications distribuées via Google Play, Xiaomi GetApps et des entrepôts d'applications tiers.

En ce qui concerne la source, Kaspersky a déclaré qu'il n'était actuellement pas en mesure de déterminer le point de sortie initial. Le scénario le plus probable est que les attaquants auraient procédé à des intrusions à des étapes clés de la chaîne d'approvisionnement de plusieurs tablettes Android, permettant ainsi à la bibliothèque malveillante d'être écrite dans le micrologiciel avant que les produits n'arrivent sur le marché. L'enquête a également permis d'identifier des indices jusqu'au fabricant de tablettes Alldocube : le fabricant rendait publiques les archives du micrologiciel pour examen de sécurité, et Kaspersky utilisait ces informations pour approfondir l'analyse de corrélation.

Selon les données de télémétrie de Kaspersky, au total 13 715 utilisateurs dans le monde sont concernés par Keenadu et l'un de ses modules malveillants. Les pays où les infections sont concentrées comprennent la Russie, le Japon, l'Allemagne, le Brésil et les Pays-Bas. Kaspersky a actuellement émis un avertissement précoce aux fabricants concernés et a recommandé aux utilisateurs d'installer les mises à jour de sécurité Android dès que possible après que les fabricants ont déployé les correctifs ; l'incident a une fois de plus souligné que les attaquants profitent plus fréquemment de la complexité de l'architecture de base et des mécanismes de sécurité d'Android pour déplacer les capacités malveillantes vers des niveaux du système plus difficiles à détecter et à supprimer.