Kaspersky otkriva Keenadu –
višefunkcionalni zlonamerni softver za Android koji može biti unapred instaliran na novim uređajima
Kaspersky je otkrio novi zlonamerni softver za Android uređaje koji je nazvao Keenadu. Ovaj zlonamerni softver distribuira se u više oblika – može biti unapred instaliran direktno u firmver uređaja, ugrađen u sistemske aplikacije ili čak preuzet iz zvaničnih prodavnica aplikacija kao što je Google Play. Trenutno se Keenadu koristi za oglašivačku prevaru, pri čemu napadači koriste zaražene uređaje kao botove za generisanje klikova na oglase, ali se može koristiti i u zlonamerne svrhe, pri čemu neke varijante omogućavaju potpunu kontrolu nad uređajem žrtve.
Zaključno sa februarom 2026. godine, Kaspersky mobilna bezbednosna rešenja detektovala su više od 13.000 uređaja zaraženih Keenadu zlonamernim softverom. Među napadnutim su i korisnici iz Srbije, a najveći broj ih je u Rusiji, Japanu, Nemačkoj, Brazilu i Holandiji.
Integrisan u firmver uređaja
Slično backdoor programu Triada, koji je Kaspersky otkrio 2025. godine, neke verzije Keenadu zlonamernog softvera integrisane su u firmver određenih modela Android tableta u jednoj od faza lanca snabdevanja. U ovoj varijanti Keenadu funkcioniše kao potpuno operativan pozadinski pristupni program koji napadačima omogućava neograničenu kontrolu nad uređajem žrtve. Može da zarazi svaku aplikaciju instaliranu na uređaju, da instalira bilo koje aplikacije iz APK datoteka i da im dodeli sve dostupne dozvole.
Kao rezultat toga, svi podaci na uređaju — uključujući multimedijalne sadržaje, poruke, bankarske akreditive, podatke o lokaciji i drugo — mogu biti kompromitovani. Zlonamerni softver čak nadgleda upite za pretragu koje korisnik unosi u pregledač Chrome u anonimnom (inkognito) režimu.
Kada je integrisan u firmver, zlonamerni softver se ponaša različito u zavisnosti od više faktora. Neće se aktivirati ako je na uređaju podešen neki od kineskih dijalekata kao jezik sistema i ako je vreme podešeno na neku od kineskih vremenskih zona. Takođe se neće pokrenuti ukoliko na uređaju nisu instalirani Google Play prodavnica i Google Play usluge.
Ugrađen u sistemske aplikacije
U ovoj varijanti funkcionalnost Keenadu zlonamernog softvera je ograničena — ne može da zarazi svaku aplikaciju na uređaju, ali pošto je ugrađen u sistemsku aplikaciju (koja ima proširene privilegije u odnosu na standardne aplikacije), i dalje može da instalira dodatne aplikacije po izboru napadača bez znanja korisnika. Štaviše, Kaspersky je otkrio Keenadu ugrađen u sistemsku aplikaciju zaduženu za otključavanje uređaja prepoznavanjem lica korisnika. Na taj način napadači potencijalno mogu doći do biometrijskih podataka lica žrtve. U pojedinim slučajevima Keenadu je bio ugrađen u aplikaciju početnog ekrana, koja upravlja interfejsom početnog ekrana uređaja.
Ugrađen u aplikacije distribuirane putem Android prodavnica aplikacija
Stručnjaci kompanije Kaspersky takođe su otkrili da je više aplikacija distribuiranih putem Google Play prodavnice zaraženo Keenadu zlonamernim softverom. Reč je o aplikacijama za pametne kućne kamere, koje su preuzete više od 300.000 puta. U trenutku objavljivanja izveštaja, ove aplikacije su uklonjene sa Google Play prodavnice. Kada se takve aplikacije pokrenu, napadači mogu da aktiviraju nevidljive kartice internet pregledača unutar aplikacija, koje se zatim koriste za pregledanje različitih veb-sajtova bez znanja korisnika. Prethodna istraživanja drugih stručnjaka za sajber-bezbednost pokazala su da su slične zaražene aplikacije distribuirane i putem samostalnih APK datoteka ili drugih prodavnica aplikacija.
Zaražene aplikacije na Google Play prodavnici
„Kao što je pokazalo naše nedavno istraživanje, unapred instaliran zlonamerni softver predstavlja ozbiljan problem na brojnim Android uređajima. Bez ikakvih radnji sa strane korisnika, uređaj može biti zaražen odmah po vađenju iz kutije. Važno je da korisnici razumeju ovaj rizik i koriste bezbednosna rešenja koja mogu da detektuju ovu vrstu zlonamernog softvera. Proizvođači verovatno nisu bili svesni kompromitovanja lanca snabdevanja koje je dovelo do infiltracije Keenadu zlonamernog softvera u uređaje, budući da se zlonamerni softver predstavljao kao legitimne sistemske komponente. Neophodno je proveravati svaku fazu proizvodnog procesa kako bi se osiguralo da firmver uređaja nije zaražen,“ izjavio je Dmitrij Kalinin, istraživač bezbednosti u kompaniji Kaspersky.
Preporuke:
Koristite pouzdano bezbednosno rešenje kako biste blagovremeno bili obavešteni o sličnim pretnjama na vašem uređaju.
Ukoliko koristite uređaj sa zaraženim firmverom, proverite da li su dostupna ažuriranja firmvera. Nakon ažuriranja, pokrenite skeniranje uređaja pomoću bezbednosnog rešenja.
Ako je sistemska aplikacija zaražena, preporučuje se da je prestanete koristiti i potom je onemogućite. Ako je zaražena aplikacija pokretača (launcher), preporučuje se onemogućavanje podrazumevanog pokretača i korišćenje pokretača treće strane.