Malware baru untuk perangkat Android yang diberi nama Keenadu telah terdeteksi oleh Kaspersky. Malware ini didistribusikan dalam berbagai bentuk – dapat diinstal langsung ke firmware perangkat, disematkan dalam aplikasi sistem, atau bahkan diunduh dari toko aplikasi resmi seperti Google Play.
Saat ini Keenadu digunakan untuk penipuan iklan, dengan penyerang menggunakan perangkat yang terinfeksi sebagai bot untuk mengirimkan klik tautan pada iklan, tetapi juga dapat digunakan untuk tujuan berbahaya dengan beberapa varian bahkan memungkinkan kendali penuh atas perangkat korban.
Hingga Februari 2026, solusi keamanan seluler Kaspersky mendeteksi lebih dari 13.000 perangkat yang terinfeksi Keenadu. Jumlah pengguna yang diserang terbanyak telah diamati di Rusia, Jepang, Jerman, Brasil, dan Belanda, tetapi negara lain juga telah terpengaruh.
Terintegrasi ke dalam firmware perangkat
Mirip dengan backdoor Triada yang dideteksi Kaspersky pada tahun 2025, beberapa versi Keenadu terintegrasi ke dalam firmware beberapa model tablet Android di salah satu tahap rantai pasokan. Dalam varian ini, Keenadu adalah backdoor yang berfungsi penuh yang memberi penyerang kendali tak terbatas atas perangkat korban. Ia dapat menginfeksi setiap aplikasi yang terpasang di perangkat, menginstal aplikasi apa pun dari file APK, dan memberi mereka izin apa pun yang tersedia. Akibatnya, semua informasi di perangkat, termasuk media, pesan, kredensial perbankan, lokasi, dll., dapat dikompromikan. Malware ini bahkan memantau kueri pencarian yang dimasukkan pengguna ke dalam browser Chrome dalam mode penyamaran.
Ketika terintegrasi ke dalam firmware, malware berperilaku berbeda tergantung pada beberapa faktor. Ia tidak akan aktif jika bahasa yang diatur pada perangkat adalah salah satu dialek Cina, dan waktu diatur ke salah satu zona waktu Cina. Ia juga tidak akan diluncurkan jika perangkat tidak memiliki Google Play Store dan Google Play Services yang terpasang.
Tertanam dalam aplikasi sistem
Dalam varian ini, fungsionalitas Keenadu terbatas – ia tidak dapat menginfeksi setiap aplikasi di perangkat, tetapi karena ia ada di dalam aplikasi sistem (yang memiliki hak istimewa yang lebih tinggi dibandingkan dengan aplikasi biasa), ia masih dapat menginstal aplikasi sampingan apa pun yang dipilih penyerang tanpa sepengetahuan pengguna. Terlebih lagi, Kaspersky menemukan Keenadu tertanam di dalam aplikasi sistem yang bertanggung jawab untuk membuka kunci perangkat dengan wajah pengguna. Penyerang berpotensi memperoleh data wajah korban. Dalam beberapa kasus, Keenadu tertanam di dalam aplikasi layar beranda yang bertanggung jawab atas antarmuka layar beranda.
Tertanam di dalam aplikasi yang didistribusikan melalui toko aplikasi Android
Para ahli Kaspersky juga menemukan bahwa beberapa aplikasi yang didistribusikan di Google Play terinfeksi Keenadu. Ini adalah aplikasi untuk kamera rumah pintar, dan telah diunduh lebih dari 300.000 kali. Pada saat publikasi, aplikasi-aplikasi ini telah dihapus dari Google Play. Saat aplikasi diluncurkan, penyerang dapat meluncurkan tab peramban web tak terlihat di dalam aplikasi, yang dapat digunakan untuk menjelajahi berbagai situs web tanpa sepengetahuan pengguna. Penelitian sebelumnya dari peneliti keamanan siber lainnya juga menunjukkan aplikasi terinfeksi serupa didistribusikan melalui file APK mandiri atau melalui toko aplikasi lain.
“Seperti yang ditunjukkan oleh penelitian terbaru kami, malware yang sudah terpasang sebelumnya merupakan masalah mendesak pada banyak perangkat Android. Tanpa tindakan apa pun dari sisi pengguna, perangkat dapat terinfeksi sejak pertama kali digunakan. Penting bagi pengguna untuk memahami risiko ini dan menggunakan solusi keamanan yang dapat mendeteksi jenis malware ini. Vendor kemungkinan tidak mengetahui tentang kompromi rantai pasokan yang mengakibatkan Keenadu menyusup ke perangkat, karena malware tersebut meniru komponen sistem yang sah. Penting untuk memeriksa setiap tahap proses produksi untuk memastikan bahwa firmware perangkat tidak terinfeksi,” komentar Dmitry Kalinin, peneliti keamanan di Kaspersky.
