Зловред Keenadu может устанавливаться на Android-устройства на этапе производства
3 мин
27
1
Новый зловред для Android под названием Keenadu пользователи рискуют получить в момент покупки устройства. Как уточнили в «Лаборатории Касперского», вредонос может быть встроен в прошивку устройства на этапе производства.
Основная задача зловреда — мошенничество с рекламой. Заражённые устройства работают как боты и накручивают переходы по рекламным объявлениям. Некоторые версии Keenadu позволяют получить полный контроль над устройством и красть конфиденциальные данные: фотографии, переписку, банковские реквизиты, геолокацию.
По данным на февраль 2026 года, «Лаборатория Касперского» обнаружила более 13 тысяч заражённых устройств. Больше всего таковых выявили в России, Японии, Германии, Бразилии и Нидерландах. Данные основаны на статистике, полученной с 6 ноября 2025 года по 31 января 2026 года.
Существует три способа распространения Keenadu. Первый — предустановка в прошивку. Подобно трояну Triada Keenadu встраивается в систему на этапе цепочки поставок и является полноценным бэкдором с полным контролем над устройством. Он заражает любые приложения, устанавливает софт из APK-файлов, выдаёт все разрешения, а также отслеживает поисковые запросы в Chrome, включая режим инкогнито. Зловред не активируется при китайском языке системы или китайском часовом поясе. Он также не работает без Google Play и сервисов Google.
Второй способ — встраивание в системные приложения. Функционал в этом случае ограничен, но вредонос сохраняет повышенные привилегии, например загружает сторонние программы без ведома владельца. Эксперты особо отметили зафиксированный случай встраивания в приложение для разблокировки по лицу. Это позволило злоумышленникам получить биометрию. Иногда Keenadu маскировался в лаунчере.
Третий вариант — официальные магазины. В Google Play обнаружились заражённые приложения для умных камер с 300 тысячами загрузок. К настоящему моменту они уже удалены. Зловред открывал невидимые вкладки браузера и взаимодействовал с рекламой.
Специалисты отметили, что предустановленное вредоносное ПО остаётся актуальной проблемой для Android-устройств. Необходимо использовать защитные решения для обнаружения таких угроз.
В случае с Keenadu производители не знали о компрометации цепочки поставок, так как Keenadu имитировал легитимные компоненты системы. Чтобы выявить подобные угрозы, важно контролировать каждый этап производства и проверять прошивки на заражение.
