
Эксперты Kaspersky обнаружили новое вредоносное ПО для Android, которое получило название Keenadu. Зловред распространяется разными способами, в том числе может быть встроен в прошивку совершенно новых устройств. Таким образом, пользователи рискуют купить уже заражённые гаджеты. В основном вредоносная программа используется для мошенничества с рекламой. Заражённые устройства выполняют роль ботов, которые накручивают переходы по ссылкам в рекламных объявлениях. Однако Keenadu может применяться и в других целях — некоторые варианты зловреда позволяют получить полный контроль над устройством и похищать конфиденциальные данные.
По данным на февраль 2026 года, решения Kaspersky обнаружили более 13 тысяч устройств, подвергшихся атакам Keenadu в разных странах, включая Беларусь.
Способы распространения
Предустановлен в прошивку устройства. Подобно троянцу Triada, о котором ранее сообщали в Kaspersky, некоторые варианты Keenadu были встроены в прошивку ряда Android-устройств на одном из этапов цепочки поставок. В данном случае Keenadu представляет собой полнофункциональный бэкдор, который позволяет злоумышленникам получить полный контроль над устройством жертвы. Он может заражать любые установленные приложения, а также устанавливать программы из APK-файлов и представлять им все доступные разрешения. В результате могут быть скомпрометированы конфиденциальные данные, в том числе фото и видео, личные сообщения, банковские реквизиты, отметки геолокации. Кроме того, зловред может отслеживать поисковые запросы пользователей в Google Chrome, в том числе в режиме инкогнито.
Поведение Keenadu может зависеть от некоторых факторов. Например, он не активируется, если на устройстве в качестве языка системы установлен один из китайских диалектов, а также настроено время по одному из китайских часовых поясов. Также Keenadu не запустится, если на устройстве нет магазина приложений Google Play и сервисов Google Play.
Встроен в системные приложения. При таком варианте функциональность Keenadu ограничена — он уже не может заражать любые приложения на устройстве. Однако зловред находится внутри системных приложений, которые имеют повышенные привилегии, поэтому может загружать сторонние программы по выбору злоумышленников без ведома владельца устройства. Экспертам Kaspersky также встречался пример, когда Keenadu был встроен в системное приложение, отвечающее за разблокировку устройства с помощью изображения лица. Таким образом злоумышленники потенциально могли получить биометрию жертвы. В некоторых случаях Keenadu был встроен в приложение, которое отвечает за интерфейс главного экрана.
Распространяется через официальные магазины. Эксперты Kaspersky обнаружили в Google Play несколько приложений, которые были заражены Keenadu. Это были программы для умных домашних камер, общее количество загрузок превысило 300 тысяч (на данный момент они уже удалены). При их запуске злоумышленники могли открывать невидимые вкладки веб-браузера внутри приложений, чтобы взаимодействовать с рекламными элементами на различных сайтах без ведома пользователя.





