«Лаборатория Касперского» обнаружила Android-вирус на 13 000 новых смартфонов
Таким образом, пользователи рискуют купить уже зараженные гаджеты
На совершенно новых Android-устройствах «Лаборатория Касперского» обнаружила вредоносное программное обеспечение (ВПО) под названием Keenadu, рассказал «Ведомостям» представитель компании. По данным на начало февраля 2026 г., решения компании выявили более 13 000 устройств, подвергшихся атакам Keenadu, из которых на Россию пришлось почти 9000. Такие случаи также были зафиксированы в Японии, Германии, Бразилии и Нидерландах.
На некоторые устройства Keenadu попадал на одном из этапов цепочки поставок при программировании, выяснили аналитики компании. «Мы предполагаем, что производители не знали о компрометации цепочки поставок, в результате которой Keenadu проник на устройства, поскольку зловред имитировал легитимные компоненты системы, – говорит старший эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин. – Чтобы вовремя заметить подобную угрозу, важно тщательно контролировать каждый этап производства устройств, чтобы убедиться, что прошивка не заражена».
В основном вредоносная программа используется для мошенничества с рекламой, уточняет представитель «Лаборатории Касперского»: зараженные устройства выполняют роль ботов, которые накручивают переходы по ссылкам в рекламных объявлениях. «Это высокорентабельный криминальный бизнес. Чем больше ботов в сети, тем выше доход. Прибыль в миллионы долларов с одной кампании многократно покрывает затраты на организацию схемы», – отмечает бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова. Каждое зараженное устройство – это «актив», который приносит прибыль 24/7, участвуя в накрутке рекламы, а также может использоваться для кражи криптовалют или данных, говорит Липатникова.
Но Keenadu может применяться и в других целях, говорит представитель «Лаборатории Касперского»: некоторые варианты зловреда позволяют получить полный контроль над устройством и похищать конфиденциальные данные. В частности, вредоносное ПО способно заражать любые установленные приложения, а также устанавливать программы из APK-файлов и предоставить им все доступные разрешения, объясняют в компании. «В результате могут быть скомпрометированы конфиденциальные данные, в том числе фото и видео, личные сообщения, банковские реквизиты, отметки геолокации. Кроме того, зловред может отслеживать поисковые запросы пользователей в Google Chrome, в том числе в режиме инкогнито», – рассказал представитель компании.
При этом поведение Keenadu может зависеть от некоторых факторов. Например, он не активируется, если на устройстве в качестве языка системы установлен один из китайских диалектов, а также настроено время по одному из китайских часовых поясов, уточняет представитель «Лаборатории Касперского». Также Keenadu не запустится, если на устройстве нет магазина приложений Google Play и сервисов Google.
Представитель «Лаборатории Касперского» уточнил, что Keenadu может распространяться и другими способами. Например, он может попадать в гаджет через магазины приложений или же может быть встроен в системные приложения.
В первом случае эксперты ИБ-компании обнаружили несколько приложений в Google Play, которые были заражены Keenadu.
Это были программы для умных домашних камер, которые были загружены более 300 000 раз (в данный момент они уже удалены). При их запуске злоумышленники могли открывать невидимые вкладки веб-браузера внутри приложений, чтобы взаимодействовать с рекламными элементами на различных сайтах без ведома пользователя, уточнил Калинин.
Если вирус был встроен в системные приложения, то его функциональность ограничивается, продолжает Калинин, в этом случае вирус не может заражать другие приложения на устройстве, но он может загружать сторонние программы по выбору злоумышленников без ведома пользователей.
Экспертам «Лаборатории Касперского» также встречался случай, когда Keenadu был встроен в системное приложение, отвечающее за разблокировку устройства с помощью изображения лица. Таким образом, злоумышленники потенциально могли получить биометрию жертвы, поясняет Калинин. В некоторых случаях Keenadu был встроен в приложение, которое отвечает за интерфейс главного экрана, добавил он.
Попадание ВПО на совершенно новые устройства – это классический пример атаки на цепочку поставок, говорит руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин. Злоумышленникам не нужно атаковать каждого пользователя индивидуально, они внедряют вредоносный код на одном из ранних этапов жизненного цикла устройства, продолжает он. Например, один из вариантов – компрометация компонентов при разработке. Производители ПО регулярно используют сторонние библиотеки или компоненты с открытым исходным кодом, если хакерам удается заразить репозиторий такого компонента, вредонос автоматически попадает в прошивку или в предустановленное системное ПО вместе с очередным обновлением кода от вендора, поясняет Сафиуллин.
Второй вариант – внедрение вредоноса на фабрике-сборщике, продолжает Сафиуллин: «Зачастую бренды делегируют сборку устройств и накатывание прошивок сторонним фабрикам или локальным дистрибуторам. Злоумышленники могут скомпрометировать серверы обновлений именно этих участников цепочки, внедряя ВПО прямо в заводской образ операционной системы».
Еще один возможный сценарий получить в подарок предустановленный вредонос – серый импорт и перекупщики, добавляет Сафиуллин. На этапе предпродажной подготовки продавцы могут перепрошивать устройства – например, для русификации или выполнения требований по обязательной установке российских приложений – и преднамеренно или непреднамеренно устанавливать ВПО на устройство, предупреждает эксперт.
При этом внедрение ВПО на этапе сборки устройства – это давняя и хорошо задокументированная практика, говорит Липатникова. Самый яркий пример – обнаруженный в 2017 г. зловред Triada, напоминает она. В 2019 г. Google официально подтвердила, что заражение происходит из-за недобросовестных вендоров, которые поставляют производителям уже зараженные системные образы.
По данным Positive Technologies, в прошлом году 44% от успешных атак при помощи ВПО на частных лиц происходили через Android. Данная история лишний раз доказывает, что нельзя полагаться только на механизмы проверки в магазинах приложений, говорит руководитель разработки PT MAZE Positive Technologies Николай Анисеня. Даже официальные источники могут быть использованы для доставки вредоносов, в том числе вредоносных клонов официальных приложений, добавил он.