«Лаборатория Касперского» обнаружила свежий предустановленный вирус Keenadu на Android-планшетах

4 мин

Компания «Лаборатория Касперского» обнаружила новое вредоносное программное обеспечение для Android. Зловред получил название Keenadu. Он распространяется разными способами. В том числе вредонос может быть встроен в прошивку совершенно новых устройств. Таким образом пользователи рискуют купить уже заражённые гаджеты.

Главным образом вредоносная программа используется для мошенничества с рекламой. Заражённые устройства выполняют роль ботов. Они накручивают переходы по ссылкам в рекламных объявлениях. Однако Keenadu может применяться и в других целях. Некоторые варианты зловреда позволяют получить полный контроль над устройством и похищать конфиденциальные данные.

По данным на февраль 2026 года решения «Лаборатории Касперского» обнаружили более 13 тысяч устройств. Они подверглись атакам Keenadu. Больше всего случаев зафиксировано в России, Японии, Германии, Бразилии и Нидерландах. ДИнформация основаны на анонимизированной статистике срабатывания решений «Лаборатории Касперского» для мобильных устройств. Период сбора информации — с 6 ноября 2025 года по 31 января 2026 года.

ПНачальный способ распространения — предустановка в прошивку устройства. Подобно троянцу Triada, о котором ранее сообщала «Лаборатория Касперского», некоторые варианты Keenadu были встроены в прошивку ряда устройств на Android. Это произошло на одном из этапов цепочки поставок. В данном случае Keenadu представляет собой полнофункциональный бэкдор. Он даёт возможность злоумышленникам получить полный контроль над устройством жертвы.

Зловред может заражать любые установленные приложения. Он также может устанавливать программы из APK-файлов и предоставлять им все доступные разрешения. В результате могут быть скомпрометированы конфиденциальные информация. Включая фото и видео, личные сообщения, банковские реквизиты, отметки геолокации. Помимо этого вредонос может отслеживать поисковые запросы пользователей в Google Chrome. Включая в режиме инкогнито.

Поведение Keenadu может зависеть от некоторых факторов. НВ частности, он не активируется, если на устройстве в качестве языка системы установлен один из китайских диалектов. А также настроено время по одному из китайских часовых поясов. Также Keenadu не запустится, если на устройстве нет магазина приложений Google Play и сервисов Google Play.

ВСледующий вариант — интеграция в системные приложения. При таком варианте функциональность Keenadu ограничена. Он уже не может заражать любые приложения на устройстве. ОТем не менее зловред находится внутри системных приложений. Они имеют повышенные привилегии. ПСледовательно вредонос может загружать сторонние программы по выбору злоумышленников без ведома владельца устройства.

Экспертам «Лаборатории Касперского» равным образом встречался пример, когда Keenadu был встроен в системное программа. Оно отвечало за разблокировку устройства с помощью изображения лица. Таким образом злоумышленники потенциально могли получить биометрию жертвы. В некоторых случаях Keenadu был встроен в программа, которое отвечает за интерфейс главного экрана.

Третий метод — распространение через официальные магазины. Эксперты «Лаборатории Касперского» обнаружили в Google Play несколько приложений. Приложения были заражены Keenadu. Это были программы для умных домашних камер. Общее количество загрузок превысило 300 тысяч. Сейчас они уже удалены. При их запуске злоумышленники могли открывать невидимые вкладки веб-браузера внутри приложений. Это позволяло взаимодействовать с рекламными элементами на различных сайтах без ведома пользователя.

Старший эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин отметил, что проблема наличия предустановленного вредоносного программного обеспечения актуальна для множества устройств на Android. Согласно заявлению Калинина, ничего не подозревающие пользователи могут случайно приобрести уже заражённые гаджеты. ПСледовательно для защиты своих устройств и данных необходимо устанавливать защитные программы, способные обнаруживать вредоносное программное обеспечение.

Дмитрий Калинин предположил, что производители не знали о компрометации цепочки поставок. В результате неё Keenadu проник на устройства. Зловред имитировал легитимные компоненты системы. В свете таких угроз важно, чтобы производители тщательно контролировали каждый этап производства устройств. Также необходимо проверять, что прошивка не заражена.

Компания рекомендует пользователям сразу после покупки устанавливать надёжное защитное решение.

В феврале 2024 года автор YouTube-канала The Net Guy Reviews нашёл во время тестов мини-ПК AceMagic AD08 вирус. Автор канала рассказал, что во время тестов встроенный антивирус Windows обнаружил подозрительные файлы, представляющие собой вредоносное программное обеспечение (ВПО), в разделе восстановления с диска NVMe. Компания-производитель поспешила извиниться и заявила, что задача уже устранена и была только в пе��вой партии мини-ПК.

Читают сейчас

Обзор изменений в законодательстве за июнь 2026 года

17 июля 2026, 13:04

Обзор изменений в законодательстве за июнь 2026 года

В обзоре изменений за июнь 2026 года рассмотрим следующие темы: критическая информационная инфраструктура, финансовые организации, деятельность ФСТЭК России, судебная практика и другие. Читать далее

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

17 июля 2026, 13:00

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

«Яндекс» подвёл итоги первой премии «Сделано с ИИ», учреждённой для специалистов, которые применяют искусственный интеллект при решении профессиональных задач. Победителями стали разработчики проектов

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

17 июля 2026, 12:58

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

На GitHub обнаружили масштабную атаку: 292 репозитория с инфостилерами, которые имитировали известные инструменты в области безопасности, финансов и разработки. По поведению вредонос похож на семейств

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

17 июля 2026, 12:57

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

Postgres Professional представляет обновление платформы миграции и репликации данных — Postgres ProGate 1.3.0. Ключевые темы релиза: полноценная поддержка Postgres Pro Shardman в качестве приёмника с

«Авито» планирует запустить свой служба знакомств

17 июля 2026, 12:22

«Авито» планирует запустить свой служба знакомств

«Авито» изучает возможность запуска сервиса знакомств для серьёзных отношений, который будет встроен в основное приложение платформы, рассказали «Ъ» источники, знакомые с планами компании. В «Авито» п