Ad imageAd image
Newsy

Keenadu: nowe smartfony z Androidem zarażone już w fabryce – jak nie kupić zhakowanego telefonu?

Czas czytania 5 min

Artykuł opisuje odkrycie malware Keenadu, złośliwego oprogramowania preinstalowanego na tysiącach smartfonów z Androidem już na etapie produkcji. Użytkownik wyciąga nowy telefon z pudełka, uruchamia go po raz pierwszy, a urządzenie od razu działa jak element botnetu i narzędzie do oszustw reklamowych oraz szpiegowania.

Spis treści

Keenadu działa na poziomie firmware i systemowych komponentów (m.in. procesu Zygote), co sprawia, że jego usunięcie jest praktycznie niemożliwe dla przeciętnego użytkownika, a standardowy reset do ustawień fabrycznych nie pomaga. Problem szczególnie dotyczy tanich marek sprzedawanych na platformach takich jak Amazon czy AliExpress, często z łańcuchem dostaw opartym na pośrednikach o słabej kontroli bezpieczeństwa.

Najważniejsze informacje o Keenadu

  • Rodzaj zagrożenia: preinstalowane złośliwe oprogramowanie Android na poziomie firmware oraz aplikacji systemowych (np. rozpoznawanie twarzy, launcher).
  • Funkcje malware:
    • masowe oszustwa reklamowe (generowanie niewidocznych kliknięć w reklamy),
    • kradzież danych uwierzytelniających (np. do bankowości), wiadomości prywatnych i danych lokalizacyjnych w czasie rzeczywistym,
    • śledzenie aktywności przeglądarki, nawet w trybie incognito Chrome.
  • Trwałość: malware infekuje proces Zygote, odpowiedzialny za uruchamianie wszystkich aplikacji, dzięki czemu przeżywa typowe przywracanie ustawień fabrycznych.
  • Skala i pochodzenie: ponad 13 000 zainfekowanych urządzeń w takich krajach jak Japonia, Niemcy, Brazylia i Holandia; analiza sugeruje powiązania z Chinami (m.in. dezaktywacja malware w przypadku chińskich dialektów i stref czasowych).
  • Cele atakujących: głównie tanie smartfony mniej znanych marek, z luźniej kontrolowanym łańcuchem dostaw i mniejszym naciskiem na testy bezpieczeństwa.

Jak działa Keenadu w praktyce?

Po pierwszym uruchomieniu telefonu Keenadu aktywuje się jako „tylne drzwi” (backdoor) do systemu. Urządzenie wchodzi do botnetu i zaczyna generować niewidoczne kliknięcia w reklamy, co gwarantuje stały zysk przestępcom dzięki fraudowi reklamowemu. Jednocześnie malware może monitorować ruch sieciowy, przechwytywać loginy, hasła, wiadomości i dane lokalizacyjne – wszystko bez widocznych oznak dla użytkownika.

Kluczowe jest wstrzyknięcie złośliwego kodu w komponenty systemowe: aplikacje rozpoznawania twarzy, launchery, a nawet samo firmware. Usunięcie takich elementów unieruchomiłoby telefon, więc klasyczne „wywal podejrzliwą apkę” po prostu tutaj nie działa. To pokazuje, że mamy do czynienia z typowym atakiem na łańcuch dostaw – infekcja nie następuje przez pobranie aplikacji, ale w fabryce, zanim urządzenie trafi do sklepu.

Google stara się ograniczać skutki poprzez wzmocnienie Play Protect, który ma blokować znane warianty malware w aplikacjach i sklepach zewnętrznych, ale to nie rozwiązuje problemu zainfekowanego firmware’u.

Jak rozpoznać i co robić z telefonem potencjalnie zainfekowanym?

Sytuacja jest trudna, bo użytkownik kupujący nowy smartfon nie ma prostego sposobu, aby sprawdzić, czy w środku siedzi Keenadu. Mimo to można wdrożyć kilka praktycznych kroków:

  1. Uważnie wybieraj producenta
    Stawiaj na marki, które mają udokumentowane wsparcie bezpieczeństwa, regularne aktualizacje i jasną politykę aktualizacji OTA. Unikaj „no-name’ów” z marketplace’ów, jeśli nie potrafisz zweryfikować producenta i źródła firmware’u.
  2. Sprawdź aktualizacje zaraz po uruchomieniu
    Po pierwszym starcie telefonu od razu wyszukaj aktualizację systemu (OTA) – niektórzy producenci mogą łatać wykryte luki w nowszych wersjach firmware’u.
  3. Obserwuj nietypowe zachowanie urządzenia
    Nienaturalne zużycie danych, wzmożone zużycie baterii, przegrzewanie przy braku intensywnego użycia czy dziwne opóźnienia mogą sugerować działanie malware w tle.
  4. Zaawansowane rozwiązania dla technicznych użytkowników
    Eksperci wskazują, że w części przypadków jedynym realnym remedium jest flashowanie czystej ROM – ręczna instalacja zaufanego obrazu systemu. To jednak operacja dla osób z doświadczeniem, obarczona ryzykiem trwałego uszkodzenia sprzętu, jeśli coś pójdzie nie tak.

Z perspektywy przeciętnego użytkownika najlepszą „obroną” pozostaje profilaktyka przy zakupie – uniknięcie urządzenia z podejrzanego źródła jest łatwiejsze niż późniejsze ratowanie zainfekowanego systemu.

Co ten incydent mówi o rynku smartfonów w 2026 roku?

Przypadek Keenadu dobrze pokazuje, że wojna o bezpieczeństwo nie toczy się już tylko w Google Play czy w przeglądarce, ale coraz częściej w fabrykach i łańcuchu dostaw. Dla użytkowników oznacza to, że „okazyjna cena” smartfona może mieć ukryty koszt w postaci utraty prywatności lub włączenia telefonu do sieci przestępczej.

Z technicznego punktu widzenia to kolejny dowód, że ataki na poziomie firmware i komponentów systemowych stają się codziennością, a nie ciekawostką z konferencji bezpieczeństwa. W praktyce wymusi to na producentach tanich urządzeń wyższe standardy audytu kodu i komponentów, a na świadomych użytkownikach – większą ostrożność przy wyborze marki i sprzedawcy.

Moim zdaniem Keenadu to mocny sygnał dla całego ekosystemu Androida: bezpieczeństwo tanich smartfonów przestaje być „drugą ligą” i zaczyna bezpośrednio wpływać na zaufanie do platformy jako całości. Jeżeli łańcuch dostaw nie zostanie uszczelniony, w dłuższej perspektywie może to odbić się na reputacji Androida, nawet jeśli Google wzmacnia Play Protect po swojej stronie

Liczba wyświetleń: 0

Jesteś naszym klientem?

Awaria sprzętu?

Problem ze sprzętem?

Zgłoś chęć naprawy

Nasza oferta

Pogoda dla Wrocławia
5°C
Wrocław
bezchmurnie
6° _ 4°
84%
4 km/h
niedz.
8 °C
pon.
10 °C
wt.
6 °C
śr.
11 °C
czw.
5 °C