Malware Keenadu infikuje Android telefony a ohrožuje osobní data

Kybernetická bezpečnostní společnost Kaspersky Lab odhalila rozsáhlé šíření malwaru Keenadu na nových zařízeních s Androidem. Nákaza byla zjištěna přibližně na 13 000 smartphonech, přičemž nejvíce případů evidují v Rusku. Incidenty byly zaznamenány také v Japonsku, Německu, Brazílii a Nizozemsku.

Keenadu je výjimečný tím, že některá zařízení byla infikována ještě před prodejem – během fáze dodavatelského řetězce. Podle analytiků se malware dostal do firmwaru při přípravě zařízení, kde se maskoval jako systémové komponenty. Hlavním cílem Keenadu je podvod s reklamou. Infikované telefony slouží jako boty, které automaticky generují kliknutí na reklamní odkazy. Z takových schémat plynou zločincům příjmy v řádu milionů dolarů.

V praxi jde o vysoce výnosný kriminální byznys, kde větší sítě botů znamenají vyšší zisky. Jak uvedla obchodní partnerka v kybernetické bezpečnosti společnosti Cloud.ru, Julija Lipatnikova, zisk z jedné kampaně může dosáhnout milionů dolarů, což snadno pokryje náklady na zavedení celého schématu.

Funkcionalita Keenadu však není omezena pouze na reklamu. Některé varianty viru umožňují úplnou kontrolu nad zařízením, včetně instalace aplikací třetích stran, infikování dalších programů a krádeže osobních údajů. V ohrožení jsou fotografie, videa, zprávy, bankovní informace a údaje o poloze. Malware navíc dokáže sledovat vyhledávací dotazy v prohlížeči Google Chrome, a to i v anonymním režimu.

Odborníci si všimli i neobvyklého chování viru. Keenadu se neaktivuje, pokud je na zařízení nastaveno čínské časové pásmo, používá se čínský jazykový dialekt nebo chybí služby Google. Kromě infekcí v dodavatelském řetězci se malware šířil také prostřednictvím aplikací. Dříve byly v oficiálním obchodě Google Play nalezeny infikované aplikace pro fotoaparáty, které dohromady zaznamenaly přes 300 000 stažení. Tyto aplikace byly sice odstraněny, ale uživatelé si nemuseli uvědomit, že jejich spuštění otevíralo skryté záložky prohlížeče, které interagovaly s reklamními prvky.

Celkově tento incident ukazuje na rizika spoléhání se pouze na kontroly v obchodech s aplikacemi. Nikolaj Anisenja, vedoucí vývoje ve společnosti PT MAZE Positive Technologies, upozornil, že i oficiální zdroje mohou být zneužity k distribuci malwaru, včetně škodlivých klonů legitimních aplikací.