Securitybedrijf Kaspersky heeft een nieuwe Android-malwarevariant ontdekt onder de naam Keenadu. De malware kan aanvallers in sommige gevallen volledige controle geven over besmette apparaten en verspreidt zich via firmware, systeemapps en officiële appstores.
Volgens Kaspersky waren in februari 2026 meer dan 13.000 apparaten besmet met Keenadu. De meeste infecties zijn vastgesteld in Rusland, Japan, Duitsland, Brazilië en Nederland, daarnaast zijn ook in andere landen besmettingen gemeld.
Keenadu wordt op drie manieren verspreid. In de eerste variant is de malware geïntegreerd in de firmware van bepaalde Android-tablets. Net als bij de eerder ontdekte Triada-backdoor kan de malware tijdens de productieketen in het apparaat zijn geplaatst. In deze vorm fungeert Keenadu als backdoor met verregaande rechten. De malware kan geïnstalleerde apps infecteren, nieuwe apps via APK-bestanden toevoegen en permissies toekennen. Daarmee kunnen onder meer media, berichten, bankgegevens, locatiegegevens en incognito-zoekopdrachten in Chrome worden buitgemaakt.
De firmwarevariant activeert zich niet wanneer de taalinstelling een Chinees dialect betreft in combinatie met een Chinese tijdzone. Ook blijft de malware inactief als Google Play Store en Google Play Services niet op het apparaat aanwezig zijn.
Een tweede verspreidingsvorm betreft integratie in systeemapps met verhoogde rechten. In deze variant is de functionaliteit beperkter, maar kan de malware alsnog ongemerkt apps installeren. Kaspersky trof Keenadu aan in een applicatie voor gezichtsherkenning waarmee apparaten kunnen worden ontgrendeld. Ook werd de malware aangetroffen in een app die verantwoordelijk is voor het beheer van het startscherm.
De derde variant werd aangetroffen in meerdere apps in Google Play, met name in applicaties voor slimme beveiligingscamera’s. Deze apps zijn gezamenlijk meer dan 300.000 keer gedownload voordat ze uit de store werden verwijderd. Na installatie konden de apps onzichtbare browsertabs openen om websites te bezoeken zonder medeweten van de gebruiker. Eerder onderzoek liet zien dat vergelijkbare besmette apps ook via losse APK-bestanden en alternatieve appstores werden verspreid.
Kaspersky spreekt van een groeiend probleem rond voorgeïnstalleerde malware op Android-apparaten. Volgens het bedrijf kunnen apparaten al bij aankoop besmet zijn zonder dat de gebruiker handelingen verricht. De leverancier stelt dat fabrikanten waarschijnlijk niet op de hoogte waren van een inbreuk in de toeleveringsketen, omdat de malware zich voordoet als legitieme systeemcomponenten. Het bedrijf wijst op het belang van controle in alle fasen van het productieproces om besmette firmware te voorkomen.
