Купили телефон, а там Keenadu. Рассказываем о вирусе, который заразил тысячи смартфонов еще до того, как их достали из коробки

«Лаборатория Касперского» сообщила об обнаружении нового Android-зловреда Keenadu, который в некоторых сценариях попадает на устройства еще до покупки. Речь идет о случаях, когда вредонос оказывается встроен в прошивку на одном из этапов цепочки поставок. Таким образом, пользователь рискует купить уже зараженный гаджет.

Основная задача Keenadu, по данным исследователей, это рекламное мошенничество: зараженные устройства выполняют роль ботов и накручивают переходы по ссылкам в рекламных объявлениях. Однако Keenadu может применяться и в других целях. Варианты, предустановленные в прошивку, по логике похожи на троянец Triada: в этом случае Keenadu выступает как полнофункциональный бэкдор и дает злоумышленникам полный контроль над устройством жертвы.

В таком сценарии зловред может заражать любые установленные приложения, а также устанавливать программы из APK-файлов и выдавать им все доступные разрешения. В результате под угрозой оказываются конфиденциальные данные, включая фото и видео, личные сообщения, банковские реквизиты и отметки геолокации. Кроме того, Keenadu способен отслеживать поисковые запросы пользователей в Google Chrome, в том числе в режиме инкогнито.

По состоянию на февраль 2026 года компания зафиксировали более 13 тысяч устройств, подвергшихся атакам Keenadu. Больше всего случаев зарегистрировано в России, Японии, Германии, Бразилии и Нидерландах.

Поведение Keenadu может зависеть от настроек устройства. Например, он не активируется, если в системе выбран один из китайских диалектов и выставлено время по одному из китайских часовых поясов. Также Keenadu не запускается, если на устройстве нет магазина приложений Google Play и сервисов Google Play.

Помимо прошивки, аналитики описывают и другие варианты заражения. В некоторых случаях Keenadu находили внутри системных приложений: тогда функциональность ограниченнее и он уже не может заражать любые приложения на устройстве, но за счет повышенных привилегий способен загружать сторонние программы по выбору злоумышленников без ведома владельца. Экспертам также встречался пример, когда Keenadu был встроен в системное приложение, отвечающее за разблокировку устройства по изображению лица, что потенциально создает риск компрометации биометрии. В отдельных случаях зловред встраивали и в приложения, отвечающие за интерфейс главного экрана.

Еще один канал - официальные магазины. Эксперты обнаружили в Google Play несколько зараженных приложений для умных домашних камер, суммарно их скачали более 300 тысяч раз, позже такие приложения удалили. При запуске они могли открывать невидимые вкладки веб-браузера внутри приложений, чтобы взаимодействовать с рекламными элементами на различных сайтах без ведома пользователя.

Предустановленное вредоносное ПО остается актуальной проблемой для множества Android-устройств, и пользователи могут случайно приобрести уже зараженный гаджет. В компании предполагают, что производители могли не знать о компрометации цепочки поставок, в результате которой Keenadu проник на устройства, поскольку зловред имитировал легитимные компоненты системы. На фоне таких угроз производителям важно тщательнее контролировать каждый этап производства и проверять, что прошивка не заражена.