Nieuwe Android-malware geeft aanvallers volledige controle over Android-apparaten
Een nieuwe vorm van malware voor Android-apparaten genaamd Keenadu is ontdekt. De malware verspreidt zich op verschillende manieren: het kan voorgeïnstalleerd zijn in de firmware van apparaten, verborgen zitten in systeemapps of gedownload worden via officiële appstores zoals Google Play. Momenteel wordt Keenadu vooral gebruikt voor advertentiefraude, waarbij geïnfecteerde apparaten als bots fungeren om op advertentielinks te klikken. Sommige varianten bieden aanvallers echter volledige controle over het slachtofferapparaat.
Dit meldt securitybedrijf Kaspersky op basis van onderzoek. In februari 2026 zijn meer dan 13.000 apparaten met Keenadu besmet. De meeste slachtoffers bevinden zich in Rusland, Japan, Duitsland, Brazilië en Nederland, maar ook in andere landen zijn infecties waargenomen.
Op drie manieren verspreid
1. Geïntegreerd in de firmware
Net als de Triada-backdoor die Kaspersky in 2025 ontdekte, wordt Keenadu bij sommige Android-tablets al tijdens de productieketen in de firmware geïnstalleerd. In deze vorm functioneert het als een volwaardige backdoor, die aanvallers onbeperkte toegang geeft tot het apparaat. Het kan alle geïnstalleerde apps infecteren, nieuwe apps installeren via APK-bestanden en deze voorzien van alle mogelijke permissies. Hierdoor kunnen persoonlijke gegevens – zoals media, berichten, bankgegevens, locatie en zelfs incognito-zoekopdrachten in Chrome – in handen vallen van criminelen.
De malware activeert zich niet als:
- de taalinstelling een Chinees dialect is en de tijdzone op een Chinese zone staat,
- Google Play Store en Google Play Services niet geïnstalleerd zijn.
2. Verborgen in systeemapps
In deze variant is de functionaliteit van Keenadu beperkter, maar door zijn positie in een systeemapp (met verhoogde rechten) kan het toch stiekem apps installeren. Kaspersky trof Keenadu aan in een app voor gezichtsherkenning om het apparaat te ontgrendelen, wat aanvallers potentieel toegang geeft tot biometrische gegevens. Ook werd de malware gevonden in de app die verantwoordelijk is voor het startschermafbeelding.
3. Via apps in appstores
Onderzoekers vonden Keenadu ook in meerdere apps op Google Play, met name in apps voor slimme beveiligingscamera’s. Deze apps waren samen meer dan 300.000 keer gedownload voordat ze uit de store werden verwijderd. Bij opening kunnen de apps onzichtbare browsertabs openen, waarmee websites bezocht worden zonder dat de gebruiker dit merkt. Eerder onderzoek wees uit dat soortgelijke besmette apps ook via losse APK-bestanden of andere appstores werden verspreid.
'Groeiend probleem'
“Uit ons recente onderzoek blijkt dat voorgeïnstalleerde malware een groeiend probleem is op Android-apparaten. Een apparaat kan al besmet zijn bij aankoop, zonder dat de gebruiker iets hoeft te doen. Het is cruciaal dat gebruikers zich bewust zijn van dit risico en beveiligingsoplossingen gebruiken die dit type malware kunnen detecteren. Fabrikanten waren waarschijnlijk niet op de hoogte van de inbreuk in de toeleveringsketen die leidde tot de infiltratie van Keenadu, aangezien de malware zich voordoet als legitieme systeemcomponenten. Het is essentieel om elke fase van het productieproces te controleren om te voorkomen dat firmware besmet raakt,” aldus Dmitry Kalinin, beveiligingsonderzoeker bij Kaspersky.
Keenadu benadrukt de kwetsbaarheden in de Android-toeleveringsketen en de risico’s van malware die al bij aankoop op een apparaat aanwezig kan zijn. Gebruikers wordt aangeraden hun apparaten regelmatig te scannen met betrouwbare beveiligingssoftware. Fabrikanten dienen hun productieprocessen streng te monitoren om dergelijke infiltraties te voorkomen.
Meer informatie is hier beschikbaar.
Meer over Kaspersky
Over Wouter Hoeffnagel
