На новых Android-устройствах специалисты «Лаборатории Касперского» обнаружили вредоносное ПО Keenadu. Об этом «Ведомостям» сообщил представитель компании. По данным на начало февраля 2026 года выявлено более 13 тысяч зараженных смартфонов и планшетов, из них почти 9 тысяч — в России. Случаи также зафиксированы в Японии, Германии, Бразилии и Нидерландах.
Как пояснил старший эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин, в ряде эпизодов зловред попадал на устройства еще на этапе цепочки поставок при программировании. Keenadu маскировался под легитимные системные компоненты, поэтому производители могли не знать о компрометации. Эксперт подчеркнул необходимость контроля прошивок на всех этапах производства.
Основная функция Keenadu связана с рекламным мошенничеством: зараженные устройства используются как боты для накрутки переходов по ссылкам. Бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова отметила, что такие схемы приносят высокий доход, а каждое зараженное устройство может использоваться круглосуточно, в том числе для кражи криптовалюты и данных.
Отдельные версии зловреда позволяют получать полный контроль над устройством. По данным компании, Keenadu способен заражать приложения, устанавливать программы из APK-файлов и предоставлять им разрешения. Это создает риск утечки фото, видео, переписки, банковских реквизитов и геолокации, а также позволяет отслеживать поисковые запросы в Google Chrome, включая режим инкогнито.
Вредонос не активируется, если на устройстве установлен один из китайских диалектов и выбран китайский часовой пояс, а также при отсутствии Google Play и сервисов Google. Keenadu распространялся и через Google Play: специалисты обнаружили приложения для умных камер, загруженные более 300 тысяч раз, которые впоследствии были удалены. Через них злоумышленники могли открывать скрытые вкладки браузера и взаимодействовать с рекламой без ведома пользователя.
Руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин назвал происходящее классической атакой на цепочку поставок. По его словам, заражение может происходить через компрометацию сторонних компонентов, серверов сборки или на этапе перепрошивки устройств, в том числе при сером импорте. Юлия Липатникова напомнила о зловреде Triada, обнаруженном в 2017 году, а также о подтверждении Google в 2019 году фактов поставки производителям зараженных системных образов.
