Kaspersky съобщи, че бекдорът Keenadu е вграден в подписан фърмуер на Android таблети и дава на атакуващите практически пълен контрол над устройството. Компанията посочи това на 17 февруари 2026 г.

Kaspersky отчита 13 715 засечени компрометирани устройства към февруари 2026 г. Най-много случаи са регистрирани в Русия, Япония, Германия, Бразилия и Нидерландия.

Ключовият риск е, че част от инфекциите са на ниво фърмуер и могат да присъстват още преди продажбата на устройството. Това затруднява премахването, а фабричното нулиране може да не е достатъчно.

Какво представлява Keenadu

Keenadu е бекдор за Android. Той се внедрява в системни компоненти и може да инжектира код в приложения при стартиране.

Kaspersky описва вариант, при който зловредният код се зарежда в адресното пространство на приложенията чрез процеса Zygote. Това позволява широк контрол върху поведението на системата.

Keenadu е напълно функционален бекдор, който дава на атакуващите неограничен контрол над устройството на жертвата“, посочва Kaspersky в коментар, цитиран от BleepingComputer.

Как се разпространява

Разследването описва няколко паралелни канала. Kaspersky определя като най-рисков сценария, при който кодът е интегриран във фърмуера по време на компилация или в процеса на доставка на софтуера до производителя.

  • Компрометиран фърмуер, включително образи, доставяни по въздуха (over-the-air) като официални обновления.
  • Системни приложения с повишени права, които позволяват тихо инсталиране на допълнителни компоненти.
  • Приложения от магазини, включително Google Play и Xiaomi GetApps, маскирани като приложения за смарт камери и други устройства.

Според Kaspersky и последващи публикации, част от злонамерените приложения в Google Play са били свалени над 300 000 пъти преди премахването им.

Пример за засегнат модел

Kaspersky посочва като потвърден пример фърмуер за Alldocube iPlay 50 mini Pro (T811M). Компанията съобщава, че анализирани версии на фърмуера съдържат импланта, включително издания след сигнализиране към доставчика.

Какво може да прави бекдорът

Kaspersky посочва, че операторите използват част от възможностите основно за монетизация чрез реклама. Компанията предупреждава, че бекдорът позволява и други действия, включително инсталиране на приложения от APK файлове и предоставяне на широки разрешения.

  • Тихо инсталиране на допълнителни модули и приложения без видимо действие от потребителя.
  • Манипулиране на трафик и поведение на браузъра, включително чрез свързани модули за Google Chrome.
  • Събиране на данни от устройството, включително съобщения, медийни файлове, локация и потенциално банкови данни.

Географски филтър и индикации за произход

Kaspersky описва поведение, при което Keenadu не се активира, ако езикът или часовата зона са свързани с Китай. Изследователите и медийни публикации отбелязват, че подобен филтър се среща при кампании, които целят да ограничат локалното внимание.

Какво препоръчват експертите

При инфекция на ниво фърмуер стандартните инструменти на Android не гарантират премахване. Kaspersky и независими публикации препоръчват да се търси чиста версия на фърмуера от производителя или от надежден източник. Те предупреждават, че неправилното флашване носи риск от повреда на устройството.

Google заяви, че е премахнал установените злонамерени приложения от Google Play. Компанията добави, че Google Play Protect може да засича известни версии на заплахата на устройства с Google Play Services.

Защо случаят е важен

Keenadu насочва вниманието към рискове във веригата на доставка на по-евтини Android устройства. При зловреден код в подписан фърмуер потребителят може да закупи компрометирано устройство, без да инсталира допълнително приложение. Това усложнява и реакцията, защото проблемът е в основата на системата.