«Лаборатория Касперского» выявила предустановленный троян Keenadu на более чем 13 тысячах новых Android-смартфонов и планшетов. Почти 9000 из них обнаружены в России, остальные случаи зафиксированы в Японии, Германии, Бразилии и Нидерландах. Все устройства были новыми, что исключает сознательную установку вредоносного ПО самими пользователями.
По данным экспертов, Keenadu попадает на гаджеты на одном из этапов цепочки поставок — при производстве или программировании. Вредонос маскируется под легитимные системные компоненты, из-за чего производители, по оценке «Лаборатории Касперского», могли не знать о компрометации. Специалисты подчеркивают необходимость жесткого контроля прошивок и всех этапов выпуска устройств, чтобы исключить внедрение вредоносного кода в заводской образ ОС или системные приложения.
Основное назначение Keenadu — рекламное мошенничество: зараженные Android-устройства превращаются в ботов, которые накручивают клики по рекламным объявлениям. По оценкам Cloud.ru, такие сети приносят злоумышленникам миллионы долларов с одной кампании, а каждый зараженный смартфон или планшет становится «активом», работающим 24/7. Помимо накрутки рекламы троян может использоваться для кражи криптовалюты и персональных данных.
Некоторые варианты Keenadu позволяют получить фактически полный контроль над устройством. Троян способен заражать установленные приложения, ставить программы из APK-файлов и автоматически выдавать им все запрашиваемые разрешения. Это создает риск утечки фотографий и видео, личной переписки, банковских реквизитов, данных геолокации. Вредонос также может отслеживать поисковые запросы в Google Chrome, включая сессии в режиме инкогнито.
Keenadu распространяется не только через цепочку поставок, но и через магазины приложений или внедрение в системное ПО. «Лаборатория Касперского» обнаружила в Google Play несколько зараженных программ для умных домашних камер с более чем 300000 загрузок — при их запуске открывались невидимые вкладки браузера, взаимодействующие с рекламой без ведома пользователя. В отдельных случаях вредонос встраивался в системные приложения, в том числе отвечающие за распознавание лица или интерфейс главного экрана, что теоретически позволяет злоумышленникам получать еще более чувствительные данные, включая биометрию владельца устройства.