Ad imageAd image
Aktualności

Keenadu: nowe smartfony z Androidem zarażone już w fabryce – jak nie kupić zhakowanego telefonu?

Czas czytania 5 min

Artykuł opisuje odkrycie malware Keenadu, złośliwego oprogramowania preinstalowanego na tysiącach smartfonów z Androidem już na etapie produkcji. Użytkownik wyciąga nowy telefon z pudełka, uruchamia go po raz pierwszy, a urządzenie od razu działa jak element botnetu i narzędzie do oszustw reklamowych oraz szpiegowania.

Spis treści

Keenadu działa na poziomie firmware i systemowych komponentów (m.in. procesu Zygote), co sprawia, że jego usunięcie jest praktycznie niemożliwe dla przeciętnego użytkownika, a standardowy reset do ustawień fabrycznych nie pomaga. Problem szczególnie dotyczy tanich marek sprzedawanych na platformach takich jak Amazon czy AliExpress, często z łańcuchem dostaw opartym na pośrednikach o słabej kontroli bezpieczeństwa.

Najważniejsze informacje o Keenadu

  • Rodzaj zagrożenia: preinstalowane złośliwe oprogramowanie Android na poziomie firmware oraz aplikacji systemowych (np. rozpoznawanie twarzy, launcher).
  • Funkcje malware:
    • masowe oszustwa reklamowe (generowanie niewidocznych kliknięć w reklamy),
    • kradzież danych uwierzytelniających (np. do bankowości), wiadomości prywatnych i danych lokalizacyjnych w czasie rzeczywistym,
    • śledzenie aktywności przeglądarki, nawet w trybie incognito Chrome.
  • Trwałość: malware infekuje proces Zygote, odpowiedzialny za uruchamianie wszystkich aplikacji, dzięki czemu przeżywa typowe przywracanie ustawień fabrycznych.
  • Skala i pochodzenie: ponad 13 000 zainfekowanych urządzeń w takich krajach jak Japonia, Niemcy, Brazylia i Holandia; analiza sugeruje powiązania z Chinami (m.in. dezaktywacja malware w przypadku chińskich dialektów i stref czasowych).
  • Cele atakujących: głównie tanie smartfony mniej znanych marek, z luźniej kontrolowanym łańcuchem dostaw i mniejszym naciskiem na testy bezpieczeństwa.

Jak działa Keenadu w praktyce?

Po pierwszym uruchomieniu telefonu Keenadu aktywuje się jako „tylne drzwi” (backdoor) do systemu. Urządzenie wchodzi do botnetu i zaczyna generować niewidoczne kliknięcia w reklamy, co gwarantuje stały zysk przestępcom dzięki fraudowi reklamowemu. Jednocześnie malware może monitorować ruch sieciowy, przechwytywać loginy, hasła, wiadomości i dane lokalizacyjne – wszystko bez widocznych oznak dla użytkownika.

Kluczowe jest wstrzyknięcie złośliwego kodu w komponenty systemowe: aplikacje rozpoznawania twarzy, launchery, a nawet samo firmware. Usunięcie takich elementów unieruchomiłoby telefon, więc klasyczne „wywal podejrzliwą apkę” po prostu tutaj nie działa. To pokazuje, że mamy do czynienia z typowym atakiem na łańcuch dostaw – infekcja nie następuje przez pobranie aplikacji, ale w fabryce, zanim urządzenie trafi do sklepu.

Google stara się ograniczać skutki poprzez wzmocnienie Play Protect, który ma blokować znane warianty malware w aplikacjach i sklepach zewnętrznych, ale to nie rozwiązuje problemu zainfekowanego firmware’u.

Jak rozpoznać i co robić z telefonem potencjalnie zainfekowanym?

Sytuacja jest trudna, bo użytkownik kupujący nowy smartfon nie ma prostego sposobu, aby sprawdzić, czy w środku siedzi Keenadu. Mimo to można wdrożyć kilka praktycznych kroków:

  1. Uważnie wybieraj producenta
    Stawiaj na marki, które mają udokumentowane wsparcie bezpieczeństwa, regularne aktualizacje i jasną politykę aktualizacji OTA. Unikaj „no-name’ów” z marketplace’ów, jeśli nie potrafisz zweryfikować producenta i źródła firmware’u.
  2. Sprawdź aktualizacje zaraz po uruchomieniu
    Po pierwszym starcie telefonu od razu wyszukaj aktualizację systemu (OTA) – niektórzy producenci mogą łatać wykryte luki w nowszych wersjach firmware’u.
  3. Obserwuj nietypowe zachowanie urządzenia
    Nienaturalne zużycie danych, wzmożone zużycie baterii, przegrzewanie przy braku intensywnego użycia czy dziwne opóźnienia mogą sugerować działanie malware w tle.
  4. Zaawansowane rozwiązania dla technicznych użytkowników
    Eksperci wskazują, że w części przypadków jedynym realnym remedium jest flashowanie czystej ROM – ręczna instalacja zaufanego obrazu systemu. To jednak operacja dla osób z doświadczeniem, obarczona ryzykiem trwałego uszkodzenia sprzętu, jeśli coś pójdzie nie tak.

Z perspektywy przeciętnego użytkownika najlepszą „obroną” pozostaje profilaktyka przy zakupie – uniknięcie urządzenia z podejrzanego źródła jest łatwiejsze niż późniejsze ratowanie zainfekowanego systemu.

Co ten incydent mówi o rynku smartfonów w 2026 roku?

Przypadek Keenadu dobrze pokazuje, że wojna o bezpieczeństwo nie toczy się już tylko w Google Play czy w przeglądarce, ale coraz częściej w fabrykach i łańcuchu dostaw. Dla użytkowników oznacza to, że „okazyjna cena” smartfona może mieć ukryty koszt w postaci utraty prywatności lub włączenia telefonu do sieci przestępczej.

Z technicznego punktu widzenia to kolejny dowód, że ataki na poziomie firmware i komponentów systemowych stają się codziennością, a nie ciekawostką z konferencji bezpieczeństwa. W praktyce wymusi to na producentach tanich urządzeń wyższe standardy audytu kodu i komponentów, a na świadomych użytkownikach – większą ostrożność przy wyborze marki i sprzedawcy.

Moim zdaniem Keenadu to mocny sygnał dla całego ekosystemu Androida: bezpieczeństwo tanich smartfonów przestaje być „drugą ligą” i zaczyna bezpośrednio wpływać na zaufanie do platformy jako całości. Jeżeli łańcuch dostaw nie zostanie uszczelniony, w dłuższej perspektywie może to odbić się na reputacji Androida, nawet jeśli Google wzmacnia Play Protect po swojej stronie

Jesteś naszym klientem?

Awaria sprzętu?

Problem ze sprzętem?

Zgłoś chęć naprawy

Nasza oferta

Pogoda dla Wrocławia
9°C
Wrocław
bezchmurnie
9° _ 8°
37%
1 km/h
pt.
9 °C
sob.
11 °C
niedz.
14 °C
pon.
16 °C
wt.
10 °C