Știri din categoria Securitate cibernetică

Acasă/Știri/Securitate cibernetică/Backdoor-ul Keenadu, descoperit...

Backdoor-ul Keenadu, descoperit preinstalat în firmware-ul tabletelor Android – posibilă breșă în lanțul de aprovizionare

Un individ misterios cu o glugă și ochelari strălucitori, sugerând o amenințare cibernetică.

Un nou backdoor Android, Keenadu, a fost descoperit preinstalat în firmware-ul mai multor tablete, oferind atacatorilor control aproape total asupra dispozitivelor, potrivit CyberInsider, care citează o analiză realizată de Kaspersky. Amenințarea, documentată public pe 17 februarie 2026, nu este distribuită prin aplicații malițioase obișnuite, ci este integrată direct în sistemul de operare al tabletelor încă din faza de construire a firmware-ului, ceea ce indică o posibilă compromitere a lanțului de aprovizionare.

Cum funcționează Keenadu

Spre deosebire de programele malițioase clasice, Keenadu:

  • este introdus în firmware în timpul procesului de dezvoltare;
  • modifică o bibliotecă de bază a sistemului Android, încărcată de fiecare aplicație;
  • se injectează în procesul Zygote, responsabil de lansarea aplicațiilor;
  • ocolește mecanismele standard de izolare și control al permisiunilor.

Această metodă îi permite să ruleze în interiorul tuturor aplicațiilor instalate pe dispozitiv, fără a fi detectat ușor. Infecții au fost identificate în imagini de firmware pentru mai multe mărci de tablete, inclusiv modele Alldocube. Chiar și versiuni lansate după ce furnizorii au recunoscut probleme anterioare conțineau backdoor-ul, iar semnarea digitală a firmware-ului sugerează că infectarea a avut loc în faza de dezvoltare, nu printr-un server de actualizare compromis.

Platformă modulară cu scopuri multiple

Keenadu funcționează ca un încărcător în mai multe etape. După activare, contactează servere controlate de atacatori, transmite date despre dispozitiv și descarcă module suplimentare, uneori la săptămâni distanță, pentru a evita detectarea. Printre funcționalitățile observate:

  • redirecționarea căutărilor din Google Chrome către motoare controlate de atacatori;
  • generarea frauduloasă de venituri din publicitate;
  • simularea de clicuri pentru monetizarea descărcărilor;
  • furt de date de autentificare din aplicații precum Telegram și Instagram.

Deși accentul pare pus pe fraudă publicitară, accesul la nivel de sistem permite și spionaj sau instalarea altor programe malițioase.

Legături cu rețele cunoscute

Cercetătorii au identificat conexiuni tehnice între Keenadu și rețelele BADBOX, Triada și Vo1d, sugerând infrastructură sau instrumente comune. În total, 13.715 utilizatori la nivel global au întâlnit Keenadu sau modulele sale, cele mai multe cazuri fiind raportate în Rusia, Japonia, Germania, Brazilia și Țările de Jos.

Eliminarea este dificilă

Pentru că este stocat într-o partiție de sistem doar pentru citire, Keenadu nu poate fi șters ca o aplicație obișnuită. Ștergerea manuală poate bloca definitiv dispozitivul. Kaspersky recomandă:

  1. instalarea exclusivă a actualizărilor oficiale de la producător;
  2. utilizarea unor soluții de securitate mobilă reputate;
  3. evitarea folosirii dispozitivelor pentru care nu există firmware curat disponibil;
  4. dezinstalarea aplicațiilor terțe suspecte.

Cazul evidențiază un risc major: compromiterea dispozitivelor direct din fabrică, înainte ca utilizatorul să le pornească pentru prima dată.

Tag-uri:keenadutriadasecuritate-ciberneticafirmware compromisandroidkasperskybadbox
Szilárd-Ervin SzőgyényiAutorSzilárd-Ervin Szőgyényi
Sursăcyberinsider.com
Urmărește-ne pe Google News

Recomandate

Articole pe același subiect

Actualizări pentru Quick Share, îmbunătățind confidențialitatea utilizatorilor pe Android.
Securitate cibernetică16 feb. 2026

Google actualizează Quick Share – mai mult control asupra partajării în spații publice

Google introduce controale noi de confidențialitate pentru Quick Share pe Android , reducând riscul de partajare nedorită cu persoane necunoscute, potrivit Nokiapoweruser . Actualizarea, anunțată pe 16 februarie 2026, vizează îmbunătățirea siguranței funcției integrate de transfer rapid de fișiere între dispozitive aflate în apropiere, folosită pentru trimiterea de fotografii, clipuri video sau documente. Schimbările vin în contextul în care utilizatorii au reclamat situații de partajare accidentală în spații publice aglomerate, precum aeroporturi, școli sau mijloace de transport. Google aliniază astfel experiența Android la standardele de protecție deja întâlnite pe platforma concurentă, unde vizibilitatea dispozitivului poate fi limitată temporar. Ce se modifică în Quick Share Noua versiune aduce mai mult control asupra modului în care un dispozitiv devine vizibil pentru alții: Vizibilitate mai strictă pentru dispozitivele din apropiere Detectabilitate limitată în timp , nu permanent activă Afișarea clară a identității expeditorului înainte de acceptare Protecție sporită împotriva solicitărilor nesolicitate sau a mesajelor de tip spam Aceste măsuri reduc riscul de a primi fișiere de la persoane necunoscute și oferă utilizatorului posibilitatea de a decide mai informat dacă acceptă sau respinge un transfer. De ce este relevantă schimbarea Android este prezent pe miliarde de dispozitive la nivel global, iar transferul rapid de fișiere este o funcție utilizată frecvent. Problemele legate de cereri neașteptate de partajare au afectat încrederea utilizatorilor, mai ales în locuri publice. Noile controale urmăresc să transforme confidențialitatea într-o setare implicită, nu într-o opțiune ascunsă în meniu. Pe scurt, utilizatorii vor beneficia de: Mai puține solicitări nedorite Control mai clar asupra vizibilității dispozitivului Siguranță sporită fără a fi necesară instalarea unei actualizări majore de sistem Cum și când ajunge actualizarea Actualizarea este distribuită treptat prin intermediul actualizărilor de sistem livrate prin magazinul de aplicații Google, ceea ce înseamnă că nu este necesară instalarea unei noi versiuni complete de Android . Majoritatea dispozitivelor moderne ar trebui să primească automat noile setări în următoarele săptămâni. Schimbarea nu aduce funcții spectaculoase la nivel vizual, dar intervine direct asupra modului în care utilizatorii interacționează cu dispozitivele din jur. Într-un ecosistem în care schimbul rapid de fișiere este tot mai des utilizat, consolidarea protecției împotriva contactelor necunoscute devine un pas necesar pentru menținerea încrederii în platformă. [...]

Vulnerabilitatea Notepad din Windows 11 pune în pericol utilizatorii.
Securitate cibernetică16 feb. 2026

Editorul de text Notepad din Windows 11, afectat de o vulnerabilitate critică de execuție la distanță

O vulnerabilitate de tip „remote code execution” descoperită în Notepad arată riscurile adăugării funcțiilor AI în aplicații de bază , potrivit unei analize publicate de Futurism . Defecțiunea a fost identificată de cercetătorii din colectivul vx-underground și a fost ulterior confirmată de Microsoft. Problema afectează versiunea modernizată a aplicației Notepad din Windows 11, care a primit recent funcții suplimentare, inclusiv suport pentru Markdown și integrare AI. Conform documentației Microsoft, vulnerabilitatea ( CVE-2026-20841 ) este cauzată de o „neutralizare incorectă a elementelor speciale utilizate într-o comandă”, ceea ce permite executarea de cod la distanță printr-un fișier deschis în aplicație. Concret, un atacator ar putea convinge utilizatorul să deschidă un fișier Markdown care conține un link malițios. Odată accesat, acesta ar putea declanșa lansarea unor protocoale neverificate și executarea de fișiere de la distanță. Caracteristicile vulnerabilității pot fi sintetizate astfel: Element Detaliu Tip vulnerabilitate Remote Code Execution (RCE) Cauză Command injection Context Deschiderea unui fișier Markdown cu link malițios Status Remediată în actualizările lunare de securitate Deși problema a fost remediată prin patch-urile de securitate recente, cazul readuce în discuție strategia Microsoft de a integra masiv funcții AI în sistemul de operare. CEO-ul Satya Nadella a declarat anterior că Windows va deveni un „agentic OS” , iar o parte semnificativă din codul companiei este deja generată de inteligență artificială. Criticii susțin însă că extinderea funcționalităților în aplicații simple a generat riscuri inutile. Cercetătorii vx-underground au afirmat că „editorii de text nu au nevoie de funcționalitate de rețea”, sugerând că transformarea Notepad într-un instrument conectat la internet creează suprafețe suplimentare de atac. Cazul Notepad nu este singular. În ultimul an, Microsoft s-a confruntat cu mai multe probleme legate de integrarea AI în Windows 11 , inclusiv controverse privind funcția „Recall”, care realiza capturi de ecran automate și a fost criticată pentru riscurile majore de confidențialitate. În plus, rata de adopție a Windows 11 rămâne sub așteptări, sute de milioane de utilizatori continuând să utilizeze Windows 10. Printre motivele invocate se numără: performanța fluctuantă a noilor funcții AI; probleme de stabilitate după actualizări; percepția că aplicațiile de bază devin mai lente și mai complexe. Vulnerabilitatea din Notepad ilustrează o dilemă mai amplă din industria tehnologică: echilibrul dintre inovație și securitate. Extinderea capabilităților AI în aplicații fundamentale poate aduce funcții suplimentare, dar introduce și riscuri noi, mai ales atunci când acestea implică conectivitate la rețea și procesare automată a conținutului. Pentru moment, Microsoft susține că problema a fost corectată, însă episodul ridică semne de întrebare privind direcția în care evoluează ecosistemul Windows. [...]

Actualizarea iOS 26.3 rezolvă breșe critice de securitate pentru iPhone.
Securitate cibernetică15 feb. 2026

Zero-day exploatat și 30+ breșe critice rezolvate în iOS 26.3; Cu toate acestea, peste o treime din iPhone-uri nu sunt la zi

Peste un sfert dintre iPhone-uri nu rulează încă iOS 26 , deși actualizarea 26.3 remediază zeci de vulnerabilități grave, inclusiv una exploatată deja în atacuri informatice, potrivit unei analize publicate de Forbes , care citează date oficiale Apple. Conform informațiilor publicate pe platforma pentru dezvoltatori a companiei, 74% dintre iPhone-urile lansate în ultimii patru ani rulează iOS 26, în timp ce 20% folosesc încă iOS 18 și 6% versiuni mai vechi. Raportat la toate iPhone-urile active, rata de adopție scade la 66%, ceea ce înseamnă că sute de milioane de dispozitive nu beneficiază de cele mai recente patch-uri de securitate. Ce aduce iOS 26.3 Cea mai recentă versiune rezolvă: peste 30 de vulnerabilități serioase; o breșă de tip zero-day (CVE-2026-20700), deja utilizată în atacuri sofisticate; multiple probleme ce pot permite executarea de cod malițios. Experții atrag atenția că dispozitivele neactualizate rămân expuse riscurilor, în special în contextul intensificării atacurilor cibernetice. De ce actualizarea a fost mai lentă Potrivit analizei, ritmul de adopție este ușor mai scăzut decât în cazul iOS 18 anul trecut. Un posibil motiv îl reprezintă noul design „Liquid Glass”, apreciat de unii utilizatori, dar criticat de alții, inclusiv de persoane cu deficiențe de vedere care au reclamat probleme de lizibilitate. Apple a ajustat între timp interfața. Pe lângă modificările vizuale, iOS 26 include funcții noi precum filtrarea apelurilor spam și un asistent care monitorizează muzica de așteptare și notifică utilizatorul când operatorul preia apelul. Mesajul transmis utilizatorilor este clar: beneficiile de securitate ale versiunii 26.3 depășesc eventualele rezerve legate de interfață . În lipsa actualizării, dispozitivele rămân vulnerabile la amenințări deja confirmate. [...]

Magazin Apple cu produse expuse și logo-ul companiei vizibil.
Securitate cibernetică12 feb. 2026

Apple remediază o vulnerabilitate zero-day exploatată activ - actualizări urgente pentru iPhone și iPad

Apple a remediat o vulnerabilitate zero-day exploatată în atacuri sofisticate cu spyware , lansând actualizări de securitate pentru iOS, iPadOS și celelalte sisteme ale sale, după ce compania a confirmat că problema a fost utilizată împotriva unor persoane țintite. Potrivit unei note oficiale publicate de Apple , breșa – identificată drept CVE-2026-20700 – afecta componenta dyld și putea permite executarea de cod arbitrar pe dispozitive vulnerabile. Vulnerabilitate critică în dyld și atacuri țintite Defectul viza dyld, editorul dinamic de legături al Apple, responsabil de încărcarea bibliotecilor și componentelor esențiale în iOS, iPadOS și macOS. Conform informării oficiale, „un atacator cu capacitate de scriere în memorie ar putea executa cod arbitrar”, iar compania a precizat că este la curent cu rapoarte privind exploatarea vulnerabilității „într-un atac extrem de sofisticat” care a vizat anumite persoane pe versiuni anterioare iOS 26. Descoperirea a fost raportată către Apple de Google Threat Analysis Group. Potrivit unei analize publicate de Security Affairs , vulnerabilitatea ar fi făcut parte dintr-un lanț de exploatare mai amplu, alături de două breșe WebKit remediate în decembrie 2025 (CVE-2025-14174 și CVE-2025-43529). Acest detaliu sugerează o campanie coordonată, cu mai multe puncte de acces tehnic. Conform unei evaluări realizate de Forbes , combinarea acestor vulnerabilități ar fi putut permite atacuri de tip „zero-click”, adică infectarea dispozitivului fără nicio acțiune din partea utilizatorului. Specialiști citați în analiză avertizează că exploatarea dyld, împreună cu breșele WebKit, putea conduce la compromiterea completă a sistemului. Actualizări extinse în iOS 26.3 și iPadOS 26.3 Apple a anunțat că problema de corupere a memoriei a fost remediată prin „îmbunătățirea gestionării stării”, potrivit documentației tehnice publicate pe site-ul oficial. Actualizările sunt disponibile pentru: iPhone 11 și modelele ulterioare iPad Pro generația a 3-a și mai noi iPad Air generația a 3-a și mai noi iPad generația a 8-a și mai noi iPad mini generația a 5-a și mai noi Pe lângă vulnerabilitatea zero-day, iOS 26.3 și iPadOS 26.3 includ remedieri pentru peste 35 de probleme de securitate suplimentare. Conform Cybersecurity News , acestea vizează componente critice precum kernelul, WebKit și CoreServices, iar unele ar fi putut permite escaladarea privilegiilor până la nivel de administrator sau ieșirea aplicațiilor din sandbox-ul de securitate. Primul zero-day activ din 2026 Aceasta este prima vulnerabilitate zero-day exploatată activ și remediată de Apple în 2026, după ce în 2025 compania a corectat șapte astfel de breșe. Experții în securitate recomandă actualizarea imediată a dispozitivelor, întrucât vulnerabilitățile dezvăluite public devin adesea ținta unor tentative mai largi de exploatare după publicarea detaliilor tehnice. Incidentul evidențiază intensificarea atacurilor direcționate și complexitatea tot mai mare a lanțurilor de exploatare, în special în contextul utilizării comerciale a instrumentelor de supraveghere digitală. Pentru utilizatori, mesajul rămâne unul clar: instalarea rapidă a actualizărilor de securitate este esențială pentru protecția datelor și a dispozitivelor personale. [...]

Gianluca Meomartini, noul vicepreședinte de vânzări pentru Europa de Sud la Bitdefender.
Securitate cibernetică04 feb. 2026

Bitdefender îl numește pe Gianluca Meomartini vicepreședinte regional pentru Europa de Sud; Mișcare strategică în contextul intensificării atacurilor cibernetice și reglementărilor stricte

Bitdefender l-a numit pe Gianluca Meomartini vicepreședinte regional de vânzări pentru Europa de Sud (EMEA) , potrivit Business Wire . Compania anunță că Gianluca Meomartini , profesionist în vânzări cu peste 27 de ani de experiență în companii multinaționale de software și securitate cibernetică, intră în echipa de conducere în rolul de Regional VP of Sales Southern EMEA . El va coordona activitatea Bitdefender în Italia, Spania, Portugalia și România. În această poziție, Meomartini ar urma să valorifice oportunitățile de creștere din sudul Europei, pe fondul intensificării atacurilor cibernetice, al cerințelor în schimbare privind protecția datelor și conformitatea, precum și al cererii mai mari pentru soluții de securitate axate pe „suveranitatea digitală” (controlul asupra datelor și infrastructurii, în acord cu reglementările și așteptările locale). Bitdefender precizează că el va lucra cu echipele de vânzări pentru strategii adaptate fiecărei piețe, aliniate priorităților mai largi din regiunea EMEA, și pentru consolidarea relațiilor cu clienții, partenerii cu valoare adăugată și distribuitorii. Meomartini afirmă că apărarea organizațiilor „necesită viziune, inovație și angajament constant” și pune accent pe combinarea prevenției proactive cu capabilități avansate de detecție și răspuns. În acest context, el menționează servicii precum XDR și MDR, termeni folosiți în industrie pentru extinderea detecției și răspunsului la incidente pe mai multe tipuri de sisteme (XDR) și pentru operarea acestor capabilități ca serviciu gestionat (MDR). Potrivit comunicatului, Meomartini are peste două decenii de experiență în securitate cibernetică și a ocupat roluri de conducere în vânzări la companii precum McAfee, Intel Security și, cel mai recent, Trellix, unde a coordonat organizații de vânzări la nivel pan-european. Bitdefender mai arată că acesta a dezvoltat strategii de intrare pe piață și a condus echipe orientate spre creștere, prin alinierea soluțiilor de securitate la prioritățile de business ale clienților. Andrei Florescu , președinte și director general al Bitdefender Business Solutions Group, spune că experiența lui Meomartini în conducerea organizațiilor de vânzări și în livrarea de strategii „personalizate, orientate pe valoare” va conta în sprijinirea clienților din sudul Europei, într-un context geopolitic mai complex și cu amenințări cibernetice în evoluție rapidă. [...]

Campanie malițioasă pe Android care abuzează de servicii de accesibilitate.
Securitate cibernetică02 feb. 2026

Bitdefender descoperă o campanie Android RAT cu payload găzduit pe Hugging Face - atacatorii folosesc servicii de accesibilitate pentru control persistent

O campanie de troian Android folosește Serviciile de accesibilitate pentru a prelua controlul dispozitivelor , potrivit Bitdefender , care descrie și modul în care atacatorii au abuzat de infrastructura Hugging Face pentru a livra componenta principală (RAT – „troian de acces la distanță”, adică un program care permite controlul de la distanță al telefonului). Cercetătorii Bitdefender arată că operațiunea combină inginerie socială (mesaje și interfețe înșelătoare), o lanț de infectare în doi pași (dropper + încărcătură malițioasă) și, esențial, solicitarea insistentă a accesului la Serviciile de accesibilitate din Android. Aceste servicii sunt funcții legitime, concepute pentru a ajuta utilizatorii (de exemplu, persoane cu dizabilități) să controleze mai ușor telefonul, dar, odată acordate unei aplicații malițioase, pot oferi vizibilitate și control extins asupra interacțiunilor de pe ecran. Lanțul de infectare începe cu o aplicație numită TrustBastion, prezentată ca soluție de securitate. Utilizatorul ar ajunge la ea, cel mai probabil, prin reclame sau alerte false care susțin că telefonul este infectat și cer instalarea unei „platforme de securitate”. După instalare, aplicația afișează imediat un mesaj de tip „actualizare necesară”, cu elemente vizuale care imită ferestrele legitime de actualizare Android/Google Play, crescând șansele ca victima să accepte pașii următori. În etapa următoare, dropper-ul nu descarcă direct un fișier malițios de pe un domeniu suspect, ci primește un răspuns care redirecționează către un depozit Hugging Face ce găzduiește fișierul APK final. Bitdefender notează că atacatorii preferă astfel de domenii bine-cunoscute pentru a reduce suspiciunile și blocările automate asociate „domeniilor cu încredere scăzută”. Miza principală, din perspectiva controlului dispozitivului, este obținerea permisiunilor prin Serviciile de accesibilitate. După instalarea încărcăturii malițioase, aceasta se prezintă drept componentă de sistem („Phone Security”) și ghidează utilizatorul să activeze accesibilitatea, normalizând cererea ca pe un pas „necesar” de securitate sau verificare. Bitdefender subliniază explicit rolul acestei permisiuni în preluarea controlului: „Odată acordată, această permisiune oferă RAT-ului o vizibilitate amplă asupra interacțiunilor utilizatorului pe întreg dispozitivul.” Odată obținut accesul la accesibilitate, malware-ul își extinde capabilitățile cerând și alte permisiuni sensibile, inclusiv pentru înregistrarea ecranului, transmiterea ecranului și afișarea de suprapuneri (ferestre peste alte aplicații). În practică, combinația dintre accesibilitate și suprapuneri permite nu doar observarea a ceea ce face utilizatorul, ci și manipularea interfeței în timp real, inclusiv prin afișarea unor ecrane false de autentificare pentru furt de credențiale. Pe baza analizei Bitdefender, elementele-cheie ale campaniei (cu accent pe accesibilitate ca mecanism de control) includ: lanț de infectare în doi pași: aplicație „dropper” urmată de încărcătura RAT; abuzarea Hugging Face pentru găzduirea și distribuția fișierelor APK malițioase; generarea frecventă de variante noi (aproximativ la 15 minute) pentru a evita detecția bazată pe „amprentă” (hash); folosirea Serviciilor de accesibilitate pentru vizibilitate persistentă și control asupra dispozitivului; afișarea de interfețe false (inclusiv financiare) pentru furt de credențiale și colectarea datelor de pe ecranul de blocare; comunicare cu un server de comandă și control (C2) pentru livrarea încărcăturilor și exfiltrarea datelor. În ceea ce privește infrastructura, Bitdefender indică existența unui server C2 centralizat care coordonează comenzile și transferul de date , menționând un endpoint identificat la adresa IP 154.198.48.57 (port 5000) și legături cu domeniul trustbastion[.]com. Totodată, cercetarea arată că depozitul inițial a dispărut la finalul lui decembrie 2025, iar operațiunea a continuat sub o altă „identitate” de aplicație (Premium Club), cu același cod de bază, o tactică folosită pentru a prelungi perioada până la detecție. Bitdefender precizează că a contactat Hugging Face înainte de publicarea cercetării, iar platforma a eliminat seturile de date care conțineau malware. Pentru organizații și utilizatori, concluzia practică este că Serviciile de accesibilitate rămân o țintă majoră pentru atacatori: permisiunea este legitimă, dar, dacă este acordată unei aplicații malițioase, poate transforma rapid un telefon într-un dispozitiv controlabil de la distanță, cu impact direct asupra confidențialității și a datelor financiare. [...]