Российские пользователи рискуют купить уже заражённые гаджеты
«Лаборатория Касперского» обнаружила новое вредоносное ПО для Android, которое получило название Keenadu. Зловред распространяется разными способами, в том числе может быть встроен в прошивку совершенно новых устройств. Таким образом, пользователи рискуют купить уже заражённые гаджеты. В основном вредоносная программа используется для мошенничества с рекламой. Заражённые устройства выполняют роль ботов, которые накручивают переходы по ссылкам в рекламных объявлениях. Однако Keenadu может применяться и в других целях — некоторые варианты зловреда позволяют получить полный контроль над устройством и похищать конфиденциальные данные.
По данным на февраль* 2026 года, решения «Лаборатории Касперского» обнаружили более 13 тысяч устройств, подвергшихся атакам Keenadu. Больше всего случаев зафиксировано в России, Японии, Германии, Бразилии и Нидерландах.
Способы распространения
Предустановлен в прошивку устройства. Подобно троянцу Triada, о котором ранее сообщала «Лаборатория Касперского», некоторые варианты Keenadu были встроены в прошивку ряда Android-устройств на одном из этапов цепочки поставок. В данном случае Keenadu представляет собой полнофункциональный бэкдор, который позволяет злоумышленникам получить полный контроль над устройством жертвы. Он может заражать любые установленные приложения, а также устанавливать программы из APK-файлов и представлять им все доступные разрешения. В результате могут быть скомпрометированы конфиденциальные данные, в том числе фото и видео, личные сообщения, банковские реквизиты, отметки геолокации. Кроме того, зловред может отслеживать поисковые запросы пользователей в Google Chrome, в том числе в режиме инкогнито.
Поведение Keenadu может зависеть от некоторых факторов. Например, он не активируется, если на устройстве в качестве языка системы установлен один из китайских диалектов, а также настроено время по одному из китайских часовых поясов. Также Keenadu не запустится, если на устройстве нет магазина приложений Google Play и сервисов Google Play.
Встроен в системные приложения. При таком варианте функциональность Keenadu ограничена — он уже не может заражать любые приложения на устройстве. Однако зловред находится внутри системных приложений, которые имеют повышенные привилегии, поэтому может загружать сторонние программы по выбору злоумышленников без ведома владельца устройства. Экспертам «Лаборатории Касперского» также встречался пример, когда Keenadu был встроен в системное приложение, отвечающее за разблокировку устройства с помощью изображения лица. Таким образом злоумышленники потенциально могли получить биометрию жертвы. В некоторых случаях Keenadu был встроен в приложение, которое отвечает за интерфейс главного экрана.
Распространяется через официальные магазины. Эксперты «Лаборатории Касперского» обнаружили в Google Play несколько приложений, которые были заражены Keenadu. Это были программы для умных домашних камер, общее количество загрузок превысило 300 тысяч (на данный момент они уже удалены). При их запуске злоумышленники могли открывать невидимые вкладки веб-браузера внутри приложений, чтобы взаимодействовать с рекламными элементами на различных сайтах без ведома пользователя.
«Предустановленное вредоносное ПО — проблема, которая остается актуальной для множества Android-устройств. Ничего не подозревающие пользователи могут случайно приобрести уже заражённые гаджеты. Поэтому, чтобы обезопасить свои устройства и данные, необходимо устанавливать защитные программы, способные обнаруживать вредоносное ПО. Мы предполагаем, что производители не знали о компрометации цепочки поставок, в результате которой Keenadu проник на устройства, поскольку зловред имитировал легитимные компоненты системы. В свете таких угроз важно, чтобы производители тщательно контролировали каждый этап производства устройств и проверяли, что прошивка не заражена», — комментирует Дмитрий Калинин, старший эксперт по кибербезопасности «Лаборатории Касперского».
Компания рекомендует пользователям сразу после покупки устанавливать использовать надёжное защитное решение, эффективность которого доказана независимыми тестами, например Kaspersky для Android: оно поможет обнаружить вредоносную программу на устройстве.
* Данные анонимизированной статистики срабатывания решений «Лаборатории Касперского» для мобильных устройств c 6 ноября 2025 года по 31 января 2026 года.
