Keenadu : une backdoor Android enfouie dans le firmware fait trembler la sécurité mobile
La menace ne passe plus par une application vérolée téléchargée à la hâte depuis une boutique douteuse. Elle s’installe plus bas, beaucoup plus bas, au cœur même du logiciel de l’appareil. C’est ce que vient de mettre au jour zLabs, le laboratoire de recherche de Zimperium, en dévoilant Keenadu, une porte dérobée Android opérant directement au niveau du firmware.
Selon l’éditeur spécialisé dans la sécurité mobile, cette découverte marque une inflexion majeure dans la sophistication des attaques visant les terminaux professionnels. Keenadu ne se contente pas d’exploiter une faille applicative : elle s’intègre profondément dans le micrologiciel de l’appareil et contourne ainsi la plupart des mécanismes de protection traditionnels.
Une compromission sous la couche applicative
À la différence des malwares mobiles classiques, généralement diffusés via des applications malveillantes, Keenadu s’implante directement dans le firmware. Plus préoccupant encore, la backdoor s’injecte dans le processus parent Android Zygote à l’origine du lancement de toutes les applications sur le système.
Ce positionnement stratégique lui confère un niveau de privilège exceptionnel. En opérant dans le contexte de chaque application, Keenadu est en mesure de neutraliser les mécanismes de sandboxing, de contourner les restrictions d’autorisations et d’échapper aux méthodes de détection traditionnelles basées sur l’analyse applicative.
Autrement dit, la menace évolue sous la surface, là où les solutions de sécurité conventionnelles disposent d’une visibilité limitée. La compromission peut intervenir au niveau du firmware lui-même ou dans la chaîne d’approvisionnement (supply chain), ce qui signifie que certains appareils pourraient être infectés avant même leur mise en service par l’utilisateur final ou par l’entreprise qui les déploie.
Une architecture pensée pour la persistance
Une fois activée, Keenadu agit comme un chargeur multi-étapes. Elle exécute différentes charges utiles malveillantes, intercepte l’activité des applications et permet la prise de contrôle à distance du terminal infecté.
Parmi les modules observés figurent des mécanismes de fraude publicitaire. Mais l’architecture de la backdoor ouvre la voie à des usages bien plus sensibles : surveillance avancée, collecte d’identifiants, interception de données professionnelles et pivot vers des environnements d’entreprise reposant sur les appareils mobiles pour l’accès sécurisé aux systèmes internes.
Dans un contexte où les smartphones sont devenus des points d’accès privilégiés aux messageries, aux VPN et aux outils métiers, une compromission à ce niveau transforme le terminal en porte d’entrée persistante au sein du système d’information. Les attaquants peuvent alors contourner les contrôles périmétriques traditionnels et maintenir un accès durable sans interaction de l’utilisateur.
Un tournant stratégique dans les attaques mobiles
Pour les chercheurs de zLabs, Keenadu illustre une tendance de fond : les cybercriminels ciblent désormais les composants les plus profonds de l’écosystème mobile, dépassant largement le cadre des applications malveillantes ou des campagnes de phishing.
Cette évolution rappelle que la surface d’attaque ne se limite plus à ce qui est visible à l’écran. Firmware et supply chain deviennent des terrains privilégiés, avec des conséquences potentiellement critiques pour les entreprises qui fondent une partie de leur sécurité sur la fiabilité des terminaux mobiles.
Les analyses menées par les équipes de recherche ont déjà permis d’identifier plusieurs variantes associées à Keenadu sur des appareils compromis. Selon l’éditeur, ces détections confirment la nécessité d’une protection continue, basée sur le comportement et opérant directement sur l’appareil, plutôt que sur des mécanismes uniquement périmétriques ou applicatifs.
Vers une sécurité mobile embarquée et proactive
Face à ce type de menace, Zimperium plaide pour un renforcement des stratégies de sécurité mobile en entreprise. L’approche recommandée repose sur une détection des menaces directement sur les terminaux, une surveillance continue de leur intégrité et l’exploitation d’informations sur les menaces en temps réel.
L’enjeu dépasse la simple détection d’applications suspectes. Il s’agit désormais d’identifier des comportements anormaux, quelle que soit l’origine de la menace, y compris lorsqu’elle opère au cœur du système. Dans un paysage où le mobile est devenu un pilier de la transformation numérique, la découverte de Keenadu rappelle que la confiance accordée aux appareils doit s’accompagner d’un contrôle permanent de leur intégrité logicielle.