Keenadu: Android-бэкдор в прошивке заражает устройства по миру

Keenadu — это серьезная киберугроза для устройств Android, обнаруженная аналитиками SophosLabs в конце февраля 2026 года. По данным отчета, вредоносное ПО действует как backdoor на уровне прошивки и внедряется в libandroid_runtime.so, что позволяет злоумышленникам получить полный контроль над зараженными устройствами.

Особую опасность Keenadu представляет из-за способа закрепления в системе: вредоносный код внедряется в процесс Zygote, родительский для всех приложений Android. Это означает, что его присутствие распространяется на все приложения на скомпрометированном устройстве, а обнаружение и удаление становятся значительно сложнее.

Как работает Keenadu

Согласно отчету, полезная нагрузка Keenadu может выполнять роль loader для различных вредоносных модулей. Среди основных задач таких модулей:

• извлечение данных из приложений;
• поддержка мошенничества с рекламой;
• скрытая работа в фоновом режиме без ведома пользователя.

Двоичный файл вредоносного ПО расположен в статической библиотеке libVndxUtils.a и использует вредоносную зависимость, маскируясь под легитимный код MediaTek. Это указывает на продуманную схему внедрения, рассчитанную на сокрытие следов присутствия.

Признаки supply chain compromise

Аналитики Sophos пришли к выводу, что Keenadu, вероятнее всего, внедряется еще на этапе сборки firmware. Такой сценарий указывает на supply chain compromise, а не на прямое вторжение уже после установки устройства пользователем.

Именно это делает инцидент особенно опасным: вредоносная компонента оказывается частью системного слоя еще до того, как устройство попадает к конечному владельцу.

Целевые приложения и рекламное мошенничество

Keenadu нацелен на широко используемые приложения, включая:

• Shein;
• Temu;
• Amazon;
• YouTube;
• Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta).

Отдельное внимание заслуживают clicker modules, встроенные в зараженную среду. Они генерируют доход по модели pay-per-click, имитируя легитимную активность и создавая обманные операции в фоновом режиме. Примечательно, что один из таких модулей встроен в системный launcher Android по умолчанию — com.android.launcher3.

Как Sophos обнаружила заражение

С точки зрения обнаружения Sophos зафиксировала постоянное присутствие двух системных APK-файлов на скомпрометированных устройствах:

• PriLauncher.apk
• PriLauncher3QuickStep.apk

По данным отчета, эти файлы были заражены trojan для размещения Keenadu. При этом приложение не блокирует легитимные версии QuickStep, что дополнительно осложняет выявление угрозы и снижает заметность компрометации.

Масштаб заражения

На данный момент Sophos выявила более 500 уникальных устройств, относящихся примерно к 50 моделям. В основном заражение затронуло недорогие устройства таких производителей, как:

• BLU;
• DOOGEE;
• Ulefone.

География распространения оказалась глобальной: случаи заражения зарегистрированы примерно в 40 странах.

Что рекомендуется организациям

Эксперты рекомендуют организациям ограничить доступ зараженных или потенциально зараженных устройств к корпоративным сетям до выхода обновленной прошивки. После публикации обновление должно быть установлено поставщиком как можно быстрее.

Главная проблема Keenadu — способность скрытно манипулировать системами получения доходов от рекламы и нарушать конфиденциальность пользовательских данных через компрометацию на уровне прошивки.

Хотя доступны дополнительные технические сведения, включая уникальные хэши зараженной firmware, именно скрытность, глубина внедрения и масштаб распространения делают Keenadu одной из наиболее тревожных Android-угроз, выявленных в последнее время.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.