На ринку Android-пристроїв зафіксовано чергову масштабну кампанію предвстановленого шкідливого ПЗ. Бекдор Keenadu, виявлений дослідниками проникає у смартфони та планшети не лише через додатки, а й безпосередньо через заводські прошивки, системні компоненти та офіційний магазин Google Play. У результаті користувач може отримати скомпрометований гаджет уже «з коробки», не виконуючи жодних ризикованих дій.
Масштаби зараження Keenadu та цільові регіони
Станом на лютий 2026 року захисні рішення фіксують понад 13 000 уражених Android-пристроїв. Найбільша концентрація випадків припадає на Японію, Німеччину, Бразилію та Нідерланди. Для інфраструктурного бекдора такого класу це значний, але не граничний показник, що свідчить про триваючу активність кампанії.
Supply chain-атака: зараження Android-прошивки ще на етапі збірки
Компрометація вихідного коду та базових бібліотек
Ключова особливість Keenadu — використання атаки на ланцюг постачання (supply chain attack). На прикладі планшета Alldocube iPlay 50 mini Pro (T811M) дослідники відстежили, що шкідлива залежність була додана безпосередньо до репозиторію вихідного коду прошивки ще до її збірки.
У прошивку інтегровано статичну бібліотеку libVndxUtils.a, прив’язану до системної libandroid_runtime.so. У підсумку заражується процес Zygote — базовий «батьківський» процес для всіх Android-додатків. Це означає, що бекдор опиняється в адресному просторі кожної запущеної програми, фактично нівелюючи логіку ізоляції застосунків одне від одного.
Характерний момент: прошивки містили коректний цифровий підпис виробника, а подальші офіційні оновлення для цих моделей також поширювали Keenadu, включно з версіями, випущеними вже після публічного розголосу. Така ситуація вказує на глибоку компрометацію процесів розробки та підпису прошивки, коли сам вендор може не усвідомлювати наявність шкідливого коду.
Інші вектори поширення: системні додатки та магазини додатків
Keenadu виявлено не лише в пристроях Alldocube. Кампанія охоплює й інших виробників Android-гаджетів. У низці випадків шкідливий код інтегрувався не в libandroid_runtime.so, а в окремі системні APK-додатки. Окрім цього, бекдор знаходили в застосунках з альтернативних каталогів, а також у Google Play та Xiaomi GetApps.
В офіційному Google Play було виявлено декілька додатків для «розумних» камер із сумарною кількістю завантажень понад 300 000. На момент публікації їх видалено, однак сам факт появи таких програм демонструє, що стандартні механізми модерації не завжди ефективно виявляють складні supply chain-загрози.
Ще одна характерна риса: Keenadu не активується, якщо системна мова чи часовий пояс пристрою вказують на прив’язку до Китаю. Подібні гео- та мовні фільтри часто застосовують кіберзлочинні групи, щоб уникнути конфлікту з місцевими регуляторами та правоохоронними органами.
Архітектура Android-бекдора Keenadu та можливості атакуючих
Внутрішня архітектура Keenadu побудована за клієнт‑серверною моделлю всередині самої ОС. Серверний компонент AKServer працює в привілейованому процесі system_server, а клієнтський модуль AKClient вбудовується до всіх інших додатків через заражений Zygote. Такий дизайн дає операторам бекдора майже повний контроль над системою.
Keenadu може: керувати дозволами будь-яких застосунків; збирати технічні ідентифікатори (IMEI, MAC-адресу, модель, версію ОС); отримувати геолокацію; встановлювати й запускати APK-файли в обхід обмежень. Механізми захисту Android на базі «установчих сесій» (install sessions) також враховані в дизайні бекдора: він адаптований для їх обходу й отримання доступу до небезпечних привілеїв, зокрема до області Accessibility, яку часто зловживають шахраї.
Сценарії зловживань: рекламне шахрайство, фішинг і ризики для біометрії
Основний виявлений сценарій використання Keenadu — рекламне шахрайство. Бекдор непомітно взаємодіє з рекламними елементами, імітує кліки та інсталяції, формуючи видимість легітимного трафіку та збільшуючи прибуток зловмисників від рекламних мереж.
Окремий модуль, орієнтований на браузер Chrome, перехоплює пошукові запити (включно з режимом інкогніто) і може підмінювати пошукову систему. Це відкриває шлях до перенаправлення трафіку на фішингові ресурси, нав’язування сумнівних сервісів і подальшої монетизації.
Спеціалізований завантажувач таргетує застосунки Amazon, SHEIN та Temu і, за скаргами користувачів, здатен додавати товари в кошик без відома власника пристрою. Так реалізуються схеми прихованих покупок або штучного завищення показників маркетплейсів.
Найбільш тривожний випадок — вбудовування Keenadu в системний додаток розпізнавання облич. Теоретично це дає доступ до біометричних шаблонів користувачів. На відміну від пароля, біометричні дані неможливо «перевипустити», тому їх компрометація має довгострокові наслідки для конфіденційності та фінансової безпеки.
Зв’язок Keenadu з ботнетами Triada, BADBOX і Vo1d
Під час аналізу було виявлено зв’язки Keenadu з іншими великими Android-ботнетами — Triada, BADBOX та Vo1d. Зокрема, фіксувалися випадки, коли BADBOX завантажував один із модулів Keenadu. Порівняння коду показало помітні збіги, хоча архітектурно платформи суттєво різняться. Це дозволяє припускати, що автори Keenadu частково спиралися на напрацювання BADBOX, створюючи власну багатоцільову платформу атак для Android.
Ризики для користувачів та складність видалення бекдора
За результатами досліджень усі відомі виробники й майданчики були поінформовані про кампанію Keenadu, однак повна ліквідація наслідків потребує часу: необхідно переглядати процеси збірки прошивок, проводити аудит сторонніх бібліотек, запроваджувати додаткові етапи безпекової перевірки перед підписанням релізів.
Видалити Keenadu штатними засобами Android майже неможливо, оскільки системний розділ із libandroid_runtime.so у сучасних версіях ОС змонтований у режимі «тільки для читання». Реалістичні варіанти — пошук та встановлення офіційної «чистої» прошивки (якщо така існує) або самостійне перепрошивання пристрою. До заміни прошивки фахівці рекомендують не використовувати потенційно заражені гаджети для роботи з банком, криптогаманцями, корпоративною поштою й іншими чутливими сервісами.
Кейс Keenadu наочно демонструє, що предвстановлене шкідливе ПЗ на Android залишається однією з найнебезпечніших категорій загроз. Користувачам варто уважніше обирати бренд і модель пристрою, одразу після покупки перевіряти смартфон засобами мобільної безпеки та насторожено ставитися до будь-яких аномалій — самовільних інсталяцій, агресивної реклами, підозрілої активності акаунтів. Виробникам же критично важливо посилювати контроль ланцюга постачання прошивок і ставитися до нього як до ключового елемента кібербезпеки всієї Android-екосистеми.
