«Лаборатория Касперского» выявила вирус, который может жить в Android-устройстве ещё до покупки
Изображение: recraft
Специалисты «Лаборатории Касперского» сообщили о новой угрозе для Android. Вредоносная программа Keenadu способна попасть в систему ещё во время производства устройства. Это значит, что смартфон или планшет может оказаться заражённым сразу после покупки, даже если владелец ничего не скачивал и не устанавливал.
По информации компании, вирус чаще всего используют для накрутки интернет-рекламы. Заражённые устройства начинают автоматически переходить по рекламным ссылкам. Внешне телефон работает как обычно, и человек ничего не замечает. В это время в системе идёт скрытая активность. Некоторые версии Keenadu работают шире и дают злоумышленникам удалённый доступ к устройству с возможностью получения личных данных.
По состоянию на февраль 2026 года защитные решения «Лаборатории Касперского» обнаружили более 13000 заражённых устройств. Больше всего случаев зафиксировано в России, Японии, Германии, Бразилии и Нидерландах. Эти данные получены на основе обезличенной статистики мобильных защитных продуктов компании за период с 6 ноября 2025 года по 31 января 2026 года.
Один из способов заражения связан с установкой вредоносной программы прямо в системное программное обеспечение ещё до продажи. Похожий механизм раньше использовался вирусом Triada. В ситуации с Keenadu заражение произошло на одном из этапов производства или поставки. В этом случае вредоносная программа работает как скрытый канал удалённого доступа. Она может вмешиваться в работу приложений, загружать дополнительные установочные файлы Android и автоматически выдавать им расширенные разрешения.
Под угрозой оказываются фотографии, видео, переписка, платёжная информация и данные о перемещениях. Также зафиксирована возможность перехвата поисковых запросов в браузере Google Chrome даже в режиме инкогнито. По сути, человек теряет контроль над личными данными.
Интересная особенность вируса в том, что он не запускается, если в системе выбран китайский язык и установлен китайский часовой пояс. Кроме того, программа не работает на устройствах без Google Play и сервисов Google Play. Это говорит о том, что в коде заранее заданы определённые условия запуска.
Второй способ распространения — внедрение в системные приложения. В этом варианте возможности вируса частично ограничены, но он всё равно остаётся внутри программ с расширенными правами. Через такие приложения злоумышленники могут загружать другие программы без уведомления владельца.
Третий путь связан с официальным магазином Google Play. Специалисты нашли несколько приложений для управления умными камерами, в которые был встроен Keenadu. В сумме их скачали более 300000 раз. Позже эти программы удалили. После запуска внутри них открывались скрытые окна браузера, которые взаимодействовали с рекламой без участия пользователя.
