Η Kaspersky εντόπισε ένα νέο κακόβουλο λογισμικό για συσκευές Android, το οποίο ονόμασε Keenadu. Το νέο αυτό κακόβουλο λογισμικό κυκλοφορεί σε διάφορες μορφές – μπορεί να είναι είτε προεγκατεστημένο απευθείας στο firmware των συσκευών, είτε ενσωματωμένο σε εφαρμογές συστήματος ή ακόμη και να διατίθεται μέσω επίσημων app stores όπως το Google Play. Προς το παρόν, το Keenadu χρησιμοποιείται για απάτη μέσω διαφημίσεων, με τους επιτιθέμενους να αξιοποιούν τις συσκευές που έχουν παραβιαστεί ως bots για την παραγωγή κλικ σε διαφημιστικούς συνδέσμους. Ωστόσο, μπορεί επίσης να χρησιμοποιηθεί για πιο επικίνδυνους σκοπούς, καθώς ορισμένες παραλλαγές του λογισμικού επιτρέπουν τον πλήρη έλεγχο της συσκευής του θύματος.
Μέχρι τον Φεβρουάριο του 2026, οι λύσεις προστασίας για φορητές συσκευές της Kaspersky εντόπισαν περισσότερες από 13.000 μολυσμένες συσκευές με Keenadu. Τα υψηλότερα ποσοστά επιθέσεων παρατηρήθηκαν στη Ρωσία, την Ιαπωνία, τη Γερμανία, τη Βραζιλία και την Ολλανδία, ωστόσο έχουν επηρεαστεί και άλλες χώρες.
Ενσωμάτωση στο firmware της συσκευής
Όπως είχε συμβεί και με το backdoor Triada που εντόπισε η Kaspersky το 2025, ορισμένες εκδόσεις του Keenadu είναι ενσωματωμένες στο firmware συγκεκριμένων μοντέλων τάμπλετ με λογισμικό Android ήδη από τη στιγμή που αυτά βρίσκονται σε κάποιο στάδιο της εφοδιαστικής αλυσίδας. Σε αυτή την παραλλαγή, το Keenadu λειτουργεί ως πλήρως λειτουργικό backdoor που παρέχει στους επιτιθέμενους απεριόριστο έλεγχο της συσκευής. Μπορεί να μολύνει κάθε εφαρμογή που είναι εγκατεστημένη, καθώς και να προσθέτει εφαρμογές μέσω αρχείων APK και να τους παραχωρεί οποιαδήποτε διαθέσιμα δικαιώματα. Ως αποτέλεσμα, όλα τα δεδομένα της συσκευής – συμπεριλαμβανομένων πολυμέσων, μηνυμάτων, τραπεζικών διαπιστευτηρίων, τοποθεσίας κ.λπ. – μπορούν να τεθούν σε κίνδυνο. Το κακόβουλο λογισμικό παρακολουθεί ακόμη και τις αναζητήσεις που κάνει ο χρήστης στον περιηγητή Google Chrome σε λειτουργία ανώνυμης περιήγησης (incognito).
Όταν είναι ενσωματωμένο στο firmware, το κακόβουλο λογισμικό συμπεριφέρεται διαφορετικά ανάλογα με ορισμένους παράγοντες. Εάν η γλώσσα της συσκευής είναι κάποια κινεζική διάλεκτος ή η ζώνη ώρας αντιστοιχεί σε κινεζική περιοχή, τότε δεν ενεργοποιείται. Επίσης, δεν εκκινεί εάν στη συσκευή δεν είναι εγκατεστημένα το Google Play Store και οι Υπηρεσίες Google Play.
Ενσωματωμένο σε εφαρμογές συστήματος
Σε αυτήν την παραλλαγή, η λειτουργικότητα του Keenadu είναι πιο περιορισμένη – δεν μπορεί να παραβιάσει κάθε εφαρμογή της συσκευής. Ωστόσο, επειδή βρίσκεται μέσα σε εφαρμογή συστήματος (η οποία διαθέτει αυξημένα δικαιώματα σε σχέση με τις συνηθισμένες εφαρμογές), μπορεί να εγκαθιστά πρόσθετες εφαρμογές της επιλογής των επιτιθέμενων χωρίς τη γνώση του χρήστη. Επιπλέον, η Kaspersky εντόπισε το Keenadu να βρίσκεται ενσωματωμένο σε εφαρμογή συστήματος υπεύθυνη για το ξεκλείδωμα της συσκευής μέσω αναγνώρισης προσώπου. Οι επιτιθέμενοι ενδέχεται έτσι να αποκτήσουν φωτογραφικά δεδομένα του προσώπου των θυμάτων. Σε ορισμένες περιπτώσεις, το Keenadu ήταν ενσωματωμένο και στην εφαρμογή αρχικής οθόνης (launcher), που διαχειρίζεται το περιβάλλον της αρχικής οθόνης.
Ενσωμάτωση σε εφαρμογές που είναι διαθέσιμες μέσω Android app stores
Οι ειδικοί της Kaspersky ανακάλυψαν επίσης ότι αρκετές εφαρμογές που διατίθενται μέσω Google Play είχαν παραβιαστεί με Keenadu. Πρόκειται για εφαρμογές διαχείρισης «έξυπνων» καμερών οικιακής χρήσης, οι οποίες είχαν εγκατασταθεί σε συσκευές περισσότερες από 300.000 φορές. Την ώρα που δημοσιεύεται αυτό το άρθρο, οι εφαρμογές αυτές έχουν αφαιρεθεί από το Google Play. Μόλις ενεργοποιηθούν οι εφαρμογές, οι επιτιθέμενοι μπορούν να ανοίγουν αόρατες καρτέλες περιήγησης μέσα σε αυτές, οι οποίες χρησιμοποιούνται για πλοήγηση σε ιστότοπους χωρίς να το γνωρίζει ο χρήστης. Προηγούμενη μελέτη από άλλους ερευνητές κυβερνοασφάλειας είχε επίσης εντοπίσει παρόμοιες μολυσμένες εφαρμογές που διανέμονταν μέσω αυτόνομων αρχείων APK ή άλλων app stores.
«Όπως έδειξε η πρόσφατη έρευνά μας, οι περιπτώσεις των προεγκατεστημένων κακόβουλων λογισμικών αποτελούν σοβαρό πρόβλημα για πολλές συσκευές Android. Μια συσκευή μπορεί να είναι μολυσμένη από τη στιγμή που βγαίνει από το κουτί, χωρίς ο αγοραστής να έχει κάνει οτιδήποτε. Είναι σημαντικό οι χρήστες να έχουν αντίληψη του συγκεκριμένου κινδύνου και να χρησιμοποιούν λύσεις ασφαλείας που μπορούν να εντοπίσουν τέτοιου είδους απειλές. Οι κατασκευαστές πιθανότατα δεν γνώριζαν για την παραβίαση της εφοδιαστικής αλυσίδας που οδήγησε στη διείσδυση του Keenadu στις συσκευές, καθώς το κακόβουλο λογισμικό μιμούνταν νόμιμα στοιχεία του συστήματος. Είναι απαραίτητος ο έλεγχος κάθε σταδίου της παραγωγικής διαδικασίας ώστε να διασφαλιστεί ότι το firmware των συσκευών δεν είναι μολυσμένο», σχολιάζει ο Dmitry Kalinin, ερευνητής ασφάλειας στην Kaspersky.
Συμβουλές:
- Χρησιμοποιήστε μια αξιόπιστη λύση ασφάλειας ώστε να ειδοποιείστε άμεσα για παρόμοιες απειλές στη συσκευή σας.
- Εάν χρησιμοποιείτε συσκευή με μολυσμένο firmware, ελέγξτε για ενημερώσεις firmware. Μετά την ενημέρωση, προχωρήστε στη σάρωση της συσκευής σας με λύση ασφάλειας.
- Εάν έχει μολυνθεί εφαρμογή συστήματος, συνιστάται να σταματήσετε τη χρήση της και να την απενεργοποιήσετε. Εάν έχει μολυνθεί εφαρμογή launcher, απενεργοποιήστε τον προεπιλεγμένο launcher και χρησιμοποιήστε κάποιον τρίτο.
Περισσότερες πληροφορίες μπορείτε να βρείτε στο Securelist.
