Ontdek hoe de Keenadu-malware 13.000 Android-smartphones infecteert via de toeleveringsketen en apps, gericht op advertentiefraude en diefstal van gegevens.
© A. Krivonosov
Cybersecurityspecialisten hebben een wijdverspreide verspreiding van de Keenadu-malware op nieuwe Android-toestellen ontdekt. Volgens Kaspersky Lab is de infectie aangetroffen op ongeveer 13.000 smartphones, met het hoogste aantal gevallen in Rusland. Ook in Japan, Duitsland, Brazilië en Nederland zijn incidenten geregistreerd.
Deze dreiging valt op omdat sommige toestellen al besmet waren voordat ze kopers bereikten – tijdens de toeleveringsketenfase. Analisten denken dat de malware tijdens de voorbereiding van het apparaat in de firmware is binnengedrongen, waarbij het zich voordeed als systeemonderdelen. Het hoofddoel van Keenadu is advertentiefraude. Geïnfecteerde smartphones worden gebruikt als bots om automatisch kliks op advertentielinks te genereren. Deskundigen zeggen dat dergelijke schema's criminelen miljoenen dollars aan inkomsten opleveren.
In de praktijk is dit een zeer winstgevende criminele activiteit, waarbij grotere botnetwerken leiden tot hogere inkomsten. Een zakelijke partner in cybersecurity bij Cloud.ru, Yulia Lipatnikova, merkte op dat de winst van een enkele campagne miljoenen dollars kan bereiken, wat de kosten van het opzetten van het schema gemakkelijk dekt.
De functionaliteit van Keenadu is niet beperkt tot advertenties. In sommige varianten geeft het virus volledige controle over het apparaat, waardoor het installeren van apps van derden, het infecteren van andere programma's en het stelen van persoonlijke gegevens mogelijk is. Foto's, video's, berichten, bankgegevens en locatiegegevens lopen gevaar. Bovendien kan de malware zoekopdrachten in Google Chrome volgen, zelfs in de incognitomodus.
Deskundigen zagen ook ongebruikelijk gedrag van het virus. Keenadu activeert niet als het apparaat is ingesteld op een Chinese tijdzone, een Chinees dialect gebruikt of geen Google-diensten heeft. Naast infecties in de toeleveringsketen verspreidde de malware zich via apps. Eerder werden geïnfecteerde camera-apps gevonden in de officiële Google Play Store, met in totaal meer dan 300.000 downloads. Deze apps zijn verwijderd, maar gebruikers hebben mogelijk niet gemerkt dat het starten ervan verborgen browsertabbladen opende om met advertentie-elementen te interacteren.
Over het geheel genomen benadrukt dit incident de risico's van het vertrouwen op alleen appstorecontroles. Nikolai Anisenya, hoofd ontwikkeling bij PT MAZE Positive Technologies, wees erop dat zelfs officiële bronnen kunnen worden gebruikt om malware te verspreiden, waaronder kwaadaardige klonen van legitieme apps.