Изследователи по киберсигурност разкриха нов и изключително сложен Android малуер, наречен Keenadu, който е бил вграден директно във фърмуера на устройства от различни производители. Заплахата позволява пълен и неограничен контрол над заразените устройства и компрометира всички инсталирани приложения, независимо от нивото им на защита.

Според доклад на Kaspersky, Keenadu се разпространява по няколко канала – чрез компрометирани OTA ъпдейти, други бекдори, системни приложения, модифицирани апликации от неофициални източници и дори чрез приложения, публикувани в Google Play.

Най-опасният сценарий – малуер, вграден във фърмуера

Съществуват няколко варианта на Keenadu, всеки със собствени възможности, но най-опасният е този, интегриран директно във фърмуера. Към февруари 2026 г. експертите на Kaspersky са потвърдили над 13 000 заразени устройства, като значителна част от тях се намират в Русия, Япония, Германия, Бразилия и Нидерландия.

Изследователите сравняват Keenadu с Triada – друга Android малуер фамилия, открита по-рано във фалшиви или евтини устройства, разпространявани през съмнителни вериги за доставки.

Поведенчески индикатори и възможен произход

Интересен детайл е, че фърмуерният вариант на Keenadu не се активира, ако езиковите или часовите настройки на устройството са свързани с Китай – потенциален индикатор за произход или целево ограничение. Освен това малуерът прекратява работата си, ако на устройството липсват Google Play Store и Google Play Services.

Макар към момента операторите му да са фокусирани основно върху рекламни измами, възможностите на Keenadu далеч надхвърлят този сценарий.

Пълен бекдор с неограничени права

Според експертите Keenadu представлява пълнофункционален бекдор, който позволява:

• Инфектиране на всички инсталирани приложения

• Инсталиране на APK файлове без знанието на потребителя

• Предоставяне на произволни разрешения на зловредни приложения

• Кражба на данни – съобщения, медийни файлове, банкови идентификационни данни, локация

• Следене на търсенията в Chrome, включително в инкогнито режим

Всичко това е възможно, защото малуерът работи в контекста на всяко приложение на устройството.

Системни приложения и официалният магазин също са засегнати

По-ограничен вариант на Keenadu е открит в системни приложения, включително такива за лицево разпознаване, използвани за отключване и удостоверяване. Въпреки по-малката функционалност, повишените привилегии позволяват тиха инсталация на допълнителен зловреден софтуер.

Още по-тревожно е, че зловредни приложения, свързани с Keenadu, са били открити и в Google Play, включително приложения за смарт камери, с над 300 000 изтегляния, преди да бъдат премахнати. При стартиране те са отваряли невидими уеб табове, които са зареждали сайтове във фонов режим – техника, напомняща на кампании, документирани по-рано от Dr.Web.

Компрометиран фърмуер и реални случаи

Keenadu е открит и във фърмуера на Android таблети от различни производители. Един от документираните случаи е таблет Alldocube iPlay 50 mini Pro (T811M) с фърмуер от август 2023 г. След сигнал през март 2024 г., че OTA сървърът на производителя е бил компрометиран, компанията призна за „вирусна атака чрез OTA софтуер“, без да разкрие подробности.

Техническият анализ на Kaspersky показва, че Keenadu компрометира libandroid_runtime.so – ключова системна библиотека на Android, което му позволява да функционира на системно ниво, извън контрола на стандартните защитни механизми.

Премахването е почти невъзможно

Поради дълбоката си интеграция във фърмуера, Keenadu не може да бъде премахнат с обичайните инструменти на Android. Препоръките на експертите включват:

• Инсталиране на чист и проверен фърмуер за конкретния модел

• Използване на надежден външен фърмуер, с риск от повреда на устройството

• Прекратяване на използването на засегнатото устройство и подмяна с продукт от доверени производители и оторизирани търговци