Исследователи сообщили об обнаружении сложного Android-бэкдора Keenadu, который распространяется сразу по нескольким каналам: через заводские прошивки, системные приложения и даже через официальный магазин Google Play. Это означает, что пользователи могут приобрести устройство, уже скомпрометированное «из коробки», без каких‑либо подозрений.
Масштаб инцидента и география заражения устройств Android
По данным на февраль 2026 года, защитные решения компании зафиксировали более 13 000 устройств, заражённых Keenadu. Наибольшее количество поражённых гаджетов приходится на Японию, Германию, Бразилию и Нидерланды. Для инфраструктурного бэкдора такого класса это значимая, но явно не предельная цифра, что указывает на продолжающуюся активность кампании.
Как Keenadu проникает в прошивку: атака на цепочку поставок
Ключевая особенность Keenadu — использование атаки на цепочку поставок (supply chain attack). Исследователи проследили цепочку заражения на примере планшета Alldocube iPlay 50 mini Pro (T811M). Выяснилось, что вредоносная зависимость была внедрена ещё на этапе сборки прошивки и попала прямо в репозиторий исходного кода.
В прошивку интегрировалась вредоносная статическая библиотека libVndxUtils.a, которая линкуется с системной библиотекой libandroid_runtime.so. В итоге заражается процесс Zygote — базовый родительский процесс для всех Android‑приложений. Бэкдор оказывается в адресном пространстве каждого запущенного приложения, фактически обнуляя смысл изоляции программ друг от друга.
Особо подчёркивается, что прошивки имели корректную цифровую подпись производителя, а все последующие обновления для скомпрометированных моделей также распространяли Keenadu, включая версии, вышедшие уже после публичного признания проблемы. Это типичный признак глубокой компрометации цепочки поставок, когда сам вендор может не знать о заражении.
Присутствие Keenadu в других устройствах и технические модификации
По данным исследования, Keenadu обнаружен не только в устройствах Alldocube: речь идёт о более широкой кампании против производителей Android-устройств. В ряде случаев бэкдор внедрялся не в libandroid_runtime.so, а в отдельные системные приложения. Вредонос также выявлен как в альтернативных каталогах, так и в магазинах Google Play и Xiaomi GetApps.
Интересная деталь: Keenadu не активируется, если язык интерфейса или часовой пояс устройства указывают на привязку к Китаю. Такой «гео- и языковой фильтр» нередко используется угрозными акторами, стремящимися избежать нежелательного внимания со стороны локальных регуляторов и правоохранительных органов.
Архитектура Keenadu: полный контроль над Android-устройством
Архитектура Keenadu реализована по клиент‑серверной модели внутри самой ОС. Серверный компонент AKServer запускается в привилегированном процессе system_server, а клиентский модуль AKClient встраивается во все остальные приложения. Такой подход даёт операторам практически полный контроль над устройством:
Keenadu способен:
— выдавать и отзывать разрешения у любых приложений;
— собирать данные об устройстве (IMEI, MAC‑адрес, модель, версия ОС);
— получать геолокацию и другую конфиденциальную информацию;
— манипулировать установкой и запуском APK‑файлов.
В новых версиях Android установка приложений выполняется через установочные сессии, чтобы ограничить возможности сторонних источников. Keenadu, судя по анализу, специально адаптирован для обхода этих механизмов и для получения доступа к опасным разрешениям, включая область «специальные возможности» (Accessibility), часто используемую мошенниками.
Криминальные схемы: от рекламного мошенничества до кражи биометрии
Основное применение Keenadu — рекламное мошенничество. Бэкдор способен скрыто взаимодействовать с рекламными элементами, эмулировать клики и установки приложений, создавая иллюзию легитимного трафика и повышая доход злоумышленников от рекламных сетей.
Отдельный модуль, ориентированный на браузер Chrome, перехватывает поисковые запросы пользователя, включая запросы в режиме инкогнито, и может подменять поисковую систему. Это открывает путь к перенаправлению трафика, фишингу и дальнейшей монетизации.
Специализированный загрузчик нацелен на приложения Amazon, SHEIN и Temu и, согласно пользовательским жалобам, способен добавлять товары в корзину без ведома владельца устройства. Таким образом реализуются сценарии скрытых покупок или накрутки метрик онлайн‑площадок.
Особенно тревожный случай — обнаружение Keenadu внутри системного приложения для распознавания лиц. Потенциально это могло дать злоумышленникам доступ к биометрическим шаблонам пользователей, что несравнимо опаснее утечки обычных паролей, так как изменить биометрию невозможно.
Связь Keenadu с Triada, BADBOX и Vo1d
В ходе анализа исследователи выявили связь Keenadu с другими крупными Android‑ботнетами: Triada, BADBOX и Vo1d. В частности, зафиксированы случаи, когда BADBOX загружал один из модулей Keenadu, а сравнительный анализ кода показал заметные совпадения, хотя архитектурные различия также существенны. Это позволяет предположить, что авторы Keenadu могли частично опираться на идеи и фрагменты кода BADBOX, развивая собственную платформу для атак.
Присутствие Keenadu в Google Play и риск для пользователей
Даже официальный магазин Google Play не стал исключением: было выявлено несколько заражённых приложений для «умных» камер с суммарным числом загрузок более 300 000. На момент публикации информация о том, что эти приложения уже удалены из магазина, подтверждена, однако факт их наличия демонстрирует, что стандартные механизмы модерации приложений не всегда способны вовремя отфильтровать сложные угрозы supply chain‑класса.
По данным исследования, все затронутые производители и площадки уведомлены о кампании Keenadu, однако полное устранение последствий подобных инцидентов требует времени, пересмотра процессов сборки прошивок и внедрения дополнительного контроля безопасности.
Удалить Keenadu штатными средствами Android практически невозможно: системный раздел с libandroid_runtime.so в современных версиях ОС смонтирован в режиме «только для чтения». Реалистичные варианты — поиск и установка «чистой» официальной прошивки (если она существует) либо самостоятельное перепрошивание устройства. До замены прошивки специалисты рекомендуют воздержаться от использования заражённых гаджетов, особенно для операций с чувствительными данными.
Случай Keenadu ещё раз демонстрирует, что предустановленное вредоносное ПО остаётся одной из наиболее опасных угроз для Android‑экосистемы. Пользователям стоит использовать надёжные решения для защиты мобильных устройств, внимательно относиться к выбору бренда и прошивки, а при первых признаках аномалий (самопроизвольные установки приложений, странная реклама, подозрительная активность аккаунтов) проводить полноценную проверку безопасности. Производителям же необходимо усиливать контроль цепочки поставок, аудировать сторонние библиотеки и внедрять строгие процедуры проверки прошивок перед подписанием и выпуском устройств на рынок.
