Sikkerhedsfirmaet Kaspersky har opdaget en ny omfattende trussel mod Android-platformen. Malwaren, der har fået navnet Keenadu, adskiller sig fra mange traditionelle virusser ved sin evne til at infiltrere enheder på flere niveauer, herunder direkte i firmwaren, før forbrugeren overhovedet har pakket produktet ud.
Ifølge opgørelser fra februar 2026 har Kaspersky allerede registreret over 13.000 inficerede enheder. Selvom de hårdest ramte lande tæller Rusland, Japan og Brasilien, er der også konstateret infektioner i vores nærområder som Tyskland og Holland.
Dybt integreret i systemet
Keenadu optræder i forskellige varianter, hvoraf den mest indgribende er integration direkte i enhedens firmware. Det vurderes at ske på et tidspunkt i forsyningskæden under produktionen af visse Android-tablets.
Når malwaren ligger i firmwaren, fungerer den som en såkaldt bagdør, der giver bagmændene fuld kontrol over enheden. Det betyder i praksis, at malwaren kan:
- Inficere alle installerede apps.
- Installere nye apps via APK-filer og tildele dem alle tilladelser.
- Tilgå data som beskeder, mediefiler, bankoplysninger og lokationsdata.
- Overvåge søgninger foretaget i Chrome, selv i inkognito-tilstand.
Interessant nok indeholder koden specifikke begrænsninger. Malwaren aktiveres ikke, hvis enheden er indstillet til kinesisk sprog og tidszone, eller hvis enheden mangler Google Play Store og Google Play Services.
Systemapps og ansigtsgenkendelse
Udover firmware-infektioner er Keenadu også fundet indlejret i systemapplikationer. Her er rettighederne typisk mere begrænsede end ved firmware-varianten, men da systemapps har udvidede privilegier, udgør det stadig en risiko.
Kaspersky har blandt andet fundet malwaren i den software, der håndterer ansigtsgenkendelse ved oplåsning af enheden, hvilket teoretisk giver angriberne mulighed for at opsnappe biometriske data. Også startskærms-applikationer (launchers) har været ramt.
Fundet i Google Play
Distributionen begrænser sig ikke til produktionsleddet. Sikkerhedsfirmaet har fundet inficerede apps til styring af smart home-kameraer direkte i Google Play Store. Disse applikationer er downloadet over 300.000 gange.
De inficerede apps benyttes primært til annonce-svindel, hvor enheden i baggrunden åbner usynlige browserfaner og klikker på reklamer uden brugerens viden. De pågældende apps er nu fjernet fra Google Play.
Sikkerhedsforsker Dmitry Kalinin fra Kaspersky udtaler om fundet:
As our recent research showed, preinstalled malware is a pressing issue on multiple Android devices. Without any actions on the user side, a device can be infected right out of the box. It is important for users to understand this risk and use security solutions that can detect this type of malware.
Vendors likely didn’t know about the supply chain compromise that resulted in Keenadu infiltrating devices, as the malware was imitating legitimate system components. It is important to check every stage of the production process to ensure that device firmware is not infected.
Sikkerhedsforsker Dmitry Kalinin fra Kaspersky
Det anbefales generelt at holde enhedens firmware opdateret og benytte sikkerhedssoftware til scanning af systemet. Hvis en systemapp er inficeret, bør den deaktiveres.
