Эксперты «Лаборатории Касперского» обнаружили новый троян Keenadu, который интегрируется в прошивки устройств на этапе производства или цепочки поставок, поражая гаджеты еще до того, как они попадают в руки конечных покупателей. По данным на февраль 2026 года, решения «Лаборатории Касперского» зафиксировали более 13 тысяч зараженных устройств, причем наибольшее количество инцидентов отмечено в России, Японии, Германии, Бразилии и Нидерландах.
Keenadu существует в нескольких вариациях, различающихся по степени опасности. Наиболее серьезной является версия, встроенная непосредственно в прошивку. Подобно печально известному трояну Triada, о котором «Лаборатория Касперского» сообщала ранее, Keenadu в этом случае представляет собой полноценный бэкдор, предоставляющий злоумышленникам полный контроль над устройством жертвы. Исследователям удалось выяснить, что вредоносные прошивки были обнаружены, в частности, на планшетах бренда Alldocube, которые в России продаются на маркетплейсах по очень привлекательным ценам.
Проблема, однако, носит более широкий характер: эксперты намекают на наличие зараженных устройств и от других производителей, что указывает на системную проблему компрометации в цепочках поставок электроники. Встроенный в системную библиотеку Keenadu может поражать любое установленное приложение, скачивать дополнительные программы в виде APK-файлов и предоставлять им любые разрешения, что ставит под угрозу фотографии, видео, личные сообщения, банковские реквизиты и данные геолокации. Более того, он способен отслеживать поисковые запросы в Google Chrome, включая режим инкогнито.
Интересной особенностью поведения Keenadu является его «избирательность»: он не активируется, если языком системы выбран один из китайских диалектов, а часовой пояс соответствует китайскому, а также при отсутствии на устройстве сервисов Google Play. Это позволяет предположить, что его авторы ориентированы на пользователей за пределами Китая.
Вторая вариация трояна интегрирована не в саму прошивку, а в предустановленные системные приложения. Хотя функциональность такого Keenadu ограничена (он не может заражать любые приложения на устройстве), он все еще крайне опасен благодаря повышенным привилегиям системного софта. Эксперты «Лаборатории Касперского» обнаружили его в приложении, отвечающем за разблокировку устройства по лицу, что потенциально открывает злоумышленникам доступ к биометрии жертвы, а также в лаунчере, управляющем интерфейсом главного экрана.
Наконец, Keenadu распространяется и традиционным способом — через официальные магазины приложений. В Google Play были найдены несколько зараженных программ для управления умными домашними камерами, общее количество загрузок которых превысило 300 тысяч. К счастью, на данный момент они уже удалены. При запуске этих приложений злоумышленники могли скрытно открывать невидимые вкладки браузера для мошенничества с рекламой, то есть, скликивания баннеров от имени жертвы – при массовом заражении на этом тоже можно неплохо заработать.
Как отмечают специалисты «Лаборатории Касперского», 2025 год стал рекордным по числу атак на Android-устройства . Помимо Triada, которая многие годы является классическим примером предустановленной угрозы, исследователи также находят связи между Keenadu и другими крупными ботнетами, такими как BADBOX и Vo1d, которые используются для мошенничества с рекламой и организации прокси-серверов на зараженных устройствах. Распространенность таких схем подтверждают и другие эксперты: в конце 2025 года специалисты Dr.Web обнаружили в магазине приложений Xiaomi GetApps троянов семейства Android.Phantom, встроенных в обновления популярных игр, которые скачивали сотни тысяч пользователей. Это доказывает, что угроза исходит не только от неизвестных брендов, но и может проникать в экосистемы крупных вендоров.
«Предустановленное вредоносное ПО — проблема, которая остаётся актуальной для множества Android-устройств, — комментирует Дмитрий Калинин, старший эксперт по кибербезопасности «Лаборатории Касперского». — Ничего не подозревающие пользователи могут случайно приобрести уже заражённые гаджеты. Поэтому, чтобы обезопасить свои устройства и данные, необходимо устанавливать защитные программы, способные обнаруживать вредоносное ПО. Мы предполагаем, что производители не знали о компрометации цепочки поставок, в результате которой Keenadu проник на устройства, поскольку зловред имитировал легитимные компоненты системы». В сложившихся условиях пользователям рекомендуется приобретать устройства только у официальных продавцов, избегать сомнительно дешевых гаджетов неизвестных марок и обязательно использовать надежные защитные решения, которые способны обнаружить угрозу даже на глубоком системном уровне.
