كشفت شركة Kaspersky المتخصصة في الأمن السيبراني عن رصد منصة برمجيات خبيثة متطورة تدعى Keenadu، جرى دمجها بعمق داخل البرمجيات التشغيلية (Firmware) لأجهزة لوحية تعمل بنظام Android من مصنعين متعددين. ويعد هذا الاختراق من النوع شديد الخطورة؛ كونه يستهدف الطبقات الأدنى في الجهاز، حيث تعمل هذه البرمجيات قبل إقلاع نظام التشغيل بالكامل، ما يجعل اكتشافها أو التخلص منها بالطرق التقليدية أمراً بالغ الصعوبة. وتشير تقديرات الشركة إلى أن السيناريو الأكثر ترجيحاً لهذه الإصابة يتمثل في اختراق سلسلة التوريد.
زراعة خبيثة في شريان النظام
يكمن جوهر الخطر في قدرة Keenadu على استهداف مكتبة برمجية محورية تعرف باسم libandroid_runtime.so. هذه المكتبة مسؤولة عن ربط العمليات البرمجية بنظام Android، وقد نجح المهاجمون في ربط البرمجية الخبيثة بعملية تُسمى Zygote.
وتعد عملية Zygote بمثابة الأصل الذي تنبثق منه كافة التطبيقات الأخرى على الجهاز؛ فوجود البرمجية الخبيثة في هذا المسار يمنحها قدرة تلقائية على الانتشار داخل مساحة تشغيل جميع التطبيقات دون أن يلحظ المستخدم أي نشاط مريب. وبحسب التحليل التقني، تعتمد Keenadu على بنية العميل والخادم عبر مكونين هما AKClient وAKServer لتنسيق الأوامر، مع قدرة فائقة على تنزيل وحدات برمجية إضافية وتحديث وظائفها سراً وفقاً للحاجة أو الهدف المستهدف.
تواقيع رقمية وسيناريوهات الاختراق
ما يثير القلق في هذه القضية هو أن صور البرمجيات التشغيلية التي خضعت للتحليل حملت تواقيع رقمية صحيحة. يشير هذا التفصيل التقني بوضوح إلى أن العبث لم يحدث بعد طرح الأجهزة في الأسواق، بل تم إدخال المكون الخبيث أثناء مرحلة الاعتماد البرمجي أو داخل بيئة البناء نفسها في المصنع.
وعلى الرغم من أن Kaspersky لم تفصح عن قائمة كاملة بأسماء الشركات المتضررة، إلا أن اسم شركة Alldocube ظهر بشكل متكرر، وتحديداً في طراز Alldocube iPlay 50 mini Pro. وأظهرت البيانات أن آثار Keenadu رُصدت في نسخ تعود إلى أغسطس 2023، مع استمرار ظهورها في نسخ لاحقة.
أهداف ربحية ومخاطر مستقبلية
تتركز الوظائف الحالية للمنصة الخبيثة حول الاحتيال الإعلاني، حيث تعيد توجيه عمليات البحث في المتصفحات، وتتبع تثبيت التطبيقات لتحقيق مكاسب غير مشروعة والتفاعل الخفي مع الإعلانات. ومع ذلك، يحذر الخبراء من أن وجود منصة قابلة للتوسع في قلب النظام يفتح الباب أمام عمليات تجسس أو سرقة بيانات أكثر حساسية في المستقبل عبر تحديث الوحدات البرمجية عن بُعد.
ووفقاً لبيانات الرصد، تعرض نحو 13,715 مستخدماً حول العالم لهذه البرمجية، وتركزت أعلى معدلات الإصابة في روسيا واليابان وألمانيا والبرازيل وهولندا. وتجدر الإشارة إلى أن هذه الأرقام تقتصر على مستخدمي حلول Kaspersky الأمنية، ولا تعكس الحجم الكلي للإصابات عالمياً.
سبل الحماية ومعضلة المعالجة
أفادت منصة Android Authority نقلاً عن Google أن خدمة Google Play Protect توفر حماية تلقائية ضد النسخ المعروفة من هذا التهديد للأجهزة التي تدعم خدماتها، مع توصية المستخدمين بالتأكد من أن أجهزتهم معتمدة.
وتكمن صعوبة المعالجة في أن الإصابة تقع في قسم النظام. وأي محاولة يدوية لاستبدال الملفات المصابة قد تؤدي إلى عطب دائم للجهاز وفقدان القدرة على الإقلاع.
