Эксперты выявили вредонос Keenadu, который заражает Android-устройства ещё на этапе производства.
Опасный Keenadu уже в коробке: вредонос нашли на новых Android-смартфонах
Фото: © A. Krivonosov
Эксперты по кибербезопасности зафиксировали масштабное распространение вредоносного ПО Keenadu на новых Android-устройствах. По данным Лаборатория Касперского, заражение было выявлено примерно на 13 тысячах смартфонов, при этом наибольшее число случаев пришлось на Россию. Инциденты также зафиксированы в Японии, Германии, Бразилии и Нидерландах.
Особенность угрозы в том, что часть устройств была заражена ещё до попадания к покупателям — на этапе цепочки поставок. Аналитики считают, что вредонос проникал в прошивку во время подготовки устройств, маскируясь под системные компоненты. Основная задача Keenadu — рекламное мошенничество. Заражённые смартфоны используются как боты, автоматически генерирующие переходы по рекламным ссылкам. По словам экспертов, такие схемы приносят злоумышленникам многомиллионные доходы.
Это высокорентабельный криминальный бизнес. Чем больше ботов в сети, тем выше доход. Прибыль в миллионы долларов с одной кампании многократно покрывает затраты на организацию схемы, — отмечает бизнес-партнёр по кибербезопасности Cloud.ru Юлия Липатникова.
При этом функциональность Keenadu не ограничивается рекламой. В отдельных вариантах вирус позволяет получить полный контроль над устройством: устанавливать сторонние приложения, заражать другие программы, а также похищать личные данные. Под угрозой оказываются фотографии, видео, переписка, банковская информация и данные о местоположении. Кроме того, вредонос способен отслеживать поисковые запросы в браузере Google Chrome, даже в режиме инкогнито.
Эксперты также обратили внимание на необычное поведение вируса. Keenadu не активируется, если на устройстве выбран китайский часовой пояс, установлен один из китайских диалектов языка или отсутствуют сервисы Google. Помимо заражения через цепочку поставок, вредонос распространялся и через приложения. В официальном магазине Google Play ранее были обнаружены заражённые программы для камер, которые суммарно скачали более 300 тысяч раз. Эти приложения уже удалены, однако пользователи могли не подозревать, что при их запуске на устройстве незаметно открывались скрытые вкладки браузера для взаимодействия с рекламными элементами.
Руководитель разработки PT MAZE Positive Technologies Николай Анисеня отметил, что эта история — лишнее доказательство того, что полагаться только на проверки в магазинах приложений нельзя: «Даже официальные источники могут быть использованы для доставки вредоносов, в том числе вредоносных клонов официальных приложений».