«Лаборатория Касперского» обнаружила новый Android-вирус под названием Keenadu. Его ключевая особенность — зловред может поражать смартфоны на этапе производства. То есть пользователи рискуют купить уже заражённые смартфоны.
В компании выявили более 13 тысяч устройств, подвергшихся атакам Keenadu, из которых на Россию пришлось более 9 тысяч девайсов. Вирус также замечен на устройствах в Японии, Германии, Бразилии и Нидерландах.
Как говорят аналитики компании, на некоторые устройства Keenadu попал во время производства при программировании:
«Мы предполагаем, что производители не знали о компрометации цепочки поставок, в результате которой Keenadu проник на устройства, поскольку зловред имитировал легитимные компоненты системы. Чтобы вовремя заметить подобную угрозу, важно тщательно контролировать каждый этап производства устройств, чтобы убедиться, что прошивка не заражена»— Дмитрий Калинин, старший эксперт по кибербезопасности «Лаборатории Касперского»
В основном вирус используется для мошенничества с рекламой: заражённые устройства выполняют роль ботов, которые накручивают переходы по ссылкам в рекламных объявлениях. Каждое заражённое устройство становится «активом», который участвует в накрутке рекламы, а также может использоваться для кражи криптовалют или данных.
Кроме того, Keenadu может применяться и в других целях, говорят в «Лаборатории Касперского»: некоторые варианты зловреда позволяют получить полный контроль над устройством и похищать конфиденциальные данные. В частности, вирус может заражать приложения, а также устанавливать программы из APK-файлов и предоставлять им все доступные разрешения, объясняют в компании.
«В результате могут быть скомпрометированы конфиденциальные данные, в том числе фото и видео, личные сообщения, банковские реквизиты, отметки геолокации. Кроме того, зловред может отслеживать поисковые запросы пользователей в Google Chrome, в том числе в режиме инкогнито»— представитель «Лаборатории Касперского»
Это не первый случай, когда вредоносное ПО попадает на устройство на этапе его сборки, говорят эксперты. В 2019 году Google подтвердила, что заражение происходит из-за недобросовестных вендоров, которые поставляют производителям уже заражённые системные образы.