Специалисты «Лаборатории Касперского» обнаружили на значительном количестве новых Android-устройств вредоносное программное обеспечение Keenadu. На начало февраля 2026 года зафиксировано более 13 тысяч заражённых смартфонов и планшетов по всему миру, причём наибольшее число инфицированных гаджетов выявлено в России — почти 9 тысяч единиц.
Аналитики пришли к выводу, что вирус попадает на устройства на ранних этапах производственного цикла. Вредоносная программа внедряется в прошивку, маскируясь под легитимные системные компоненты, поэтому производители могли не знать о её наличии.
Основное назначение Keenadu в большинстве случаев — мошенничество с рекламой. Заражённые устройства превращаются в ботов, которые автоматически накручивают переходы по рекламным ссылкам, принося прибыль злоумышленникам. Доход от таких действий может исчисляться миллионами долларов, а каждое устройство работает на злоумышленников круглосуточно.
Некоторые версии вредоноса обладают более опасными возможностями. Вирус способен получать полный контроль над устройством, похищать конфиденциальные данные, включая фотографии, видео, личные сообщения и банковские реквизиты. Keenadu может отслеживать поисковые запросы пользователей в браузере Google Chrome даже в режиме инкогнито, а также заражать другие приложения и устанавливать новые без ведома владельца.
Исследователи обнаружили три основных пути распространения вредоносной программы. Помимо внедрения в прошивку на заводе-изготовителе, Keenadu был найден в системных приложениях и даже в «Google Play Маркете». В частности, заражёнными оказались несколько приложений для управления умными домашними камерами, которые были скачаны более 300 тысяч раз — в настоящее время они удалены из магазина.
Поведение вируса зависит от способа его проникновения и некоторых внешних факторов. Если Keenadu встроен в системные приложения, его возможности ограничены: он не может заражать другие программы, но способен загружать дополнительные модули по выбору атакующих. Специалисты зафиксировали случаи внедрения вредоноса в приложение для разблокировки устройства по лицу, что создавало риск утечки биометрических данных, а также в программу, отвечающую за интерфейс главного экрана.
Интересной особенностью Keenadu является его неактивность при определённых настройках. Вирус не запускается, если на устройстве в качестве языка системы выбран один из китайских диалектов, а также установлен часовой пояс, относящийся к Китаю. Кроме того, вредонос не активируется на гаджетах, где отсутствуют сервисы Google.