Kaspersky, Android cihazları hedef alan ve Keenadu olarak adlandırdığı yeni bir zararlı yazılım tespit etti. Bu yazılım, çok katmanlı bir dağıtım stratejisiyle cihazların aygıt yazılımına entegre olabiliyor, sistem uygulamalarının içine gömülebiliyor ve Google Play gibi resmi uygulama mağazaları üzerinden yayılabiliyor. Keenadu, enfekte ettiği cihazları reklam tıklama trafiği oluşturmak için kullanıyor. Bazı varyantları ise saldırganlara cihaz üzerinde tam kontrol sağlıyor.
Keenadu’nun Yayılımı ve Etkilediği Bölgeler
Şubat 2026 itibarıyla Kaspersky, Keenadu bulaşmış 13.000’den fazla cihaz tespit etti. En fazla etkilenen ülkeler arasında Rusya, Japonya, Almanya, Brezilya, Hollanda ve Türkiye bulunuyor. Birçok farklı ülke de bu zararlı yazılımdan etkilenmiş durumda.
Doğrudan Aygıt Yazılımına Entegrasyon
Kaspersky’nin 2025 yılında tespit ettiği Triada arka kapısına benzer şekilde, Keenadu’nun bazı sürümleri tedarik zinciri aşamasında çeşitli Android tablet modellerinin aygıt yazılımına sızdırıldı. Bu varyant, saldırganlara cihaz üzerinde sınırsız kontrol imkanı sunan tam işlevli bir arka kapı olarak çalışıyor. Yazılım, cihazda yüklü tüm uygulamalara bulaşabiliyor, APK dosyaları üzerinden istenilen uygulamayı yükleyebiliyor ve tüm sistem izinlerini tanımlayabiliyor. Bu durum, medya dosyaları, mesajlar, bankacılık bilgileri ve konum verileri dahil olmak üzere cihazdaki tüm hassas bilgilerin tehlikeye girmesine yol açıyor. Ayrıca, kullanıcının Chrome tarayıcısında gizli sekmede yaptığı aramalar bile takip ediliyor.
Aygıt yazılımına entegre edilen bu zararlı, cihaz dili Çince lehçelerinden birine ayarlıysa veya saat dilimi Çin olarak seçilmişse aktifleşmiyor. Cihazda Google Play Store ve Google Play Hizmetleri yüklü değilse yazılım çalışmıyor.
Sistem Uygulamalarına Sızma
Keenadu’nun bir diğer varyantı, sistem uygulamalarının içine gömülüyor. Bu varyant, normal uygulamalara kıyasla yüksek yetkilere sahip bir sistem uygulaması içinde barındığı için kullanıcıdan habersiz uygulama yüklemeye devam edebiliyor. Kaspersky uzmanları, Keenadu’nun cihazın yüz tanıma kilidinden sorumlu sistem uygulamasına gömüldüğünü keşfetti. Bu durum, saldırganların kullanıcıların biyometrik yüz verilerine erişebilme ihtimalini ortaya koyuyor. Bazı vakalarda yazılımın, ana ekran arayüzünü yöneten “launcher” uygulamasına sızdığı da görüldü.
Android Uygulama Mağazaları Üzerinden Dağıtım
Kaspersky uzmanları, Google Play’de yer alan bazı uygulamaların Keenadu ile enfekte olduğunu ortaya çıkardı. Özellikle akıllı ev kameraları için geliştirilen ve 300.000’den fazla indirilen bu uygulamalar, raporun yayınlandığı tarihte Google Play’den kaldırıldı. Bu uygulamalar çalıştırıldığında, saldırganlar arka planda kullanıcıya görünmeyen tarayıcı sekmeleri açarak çeşitli web sitelerinde gizlice gezinebiliyor. Daha önceki araştırmalar da benzer enfekte uygulamaların bağımsız APK dosyaları veya farklı uygulama mağazaları üzerinden dağıtıldığını doğruladı.
Kaspersky Uzmanlarından Uyarılar
Kaspersky Güvenlik Araştırmacısı Dmitry Kalinin, “Son araştırmamız, ön yüklü zararlı yazılımların Android ekosisteminde ne kadar ciddi bir tehdit haline geldiğini gösteriyor. Kullanıcı hiçbir hatalı işlem yapmasa dahi cihaz kutusundan virüslü çıkabiliyor. Bu riskin bilincinde olmak ve bu tür tehditleri engelleyebilecek güvenlik çözümleri kullanmak kritik önem taşıyor. Yazılım kendini yasal bir sistem bileşeni gibi kamufle ettiği için muhtemelen üreticiler de tedarik zincirindeki bu sızmanın farkında değildi. Cihaz yazılımlarının enfekte olmadığından emin olmak için üretim sürecinin her aşamasının titizlikle denetlenmesi şart.” dedi.
Kullanıcılara Yönelik Öneriler
Kaspersky, kullanıcıların cihazlarındaki tehditlerden anında haberdar olmak için etkin bir güvenlik çözümü kullanmalarını öneriyor. Enfekte aygıt yazılımı varsa, üreticinin sunduğu güncellemeleri kontrol etmeleri ve güncelleme sonrası cihazlarını tam kapsamlı bir güvenlik taramasından geçirmeleri tavsiye ediliyor. Sistem uygulaması enfekte olmuşsa, uygulamanın kullanılmaması ve devre dışı bırakılması, enfekte launcher uygulaması varsa üçüncü taraf bir başlatıcı kullanılması öneriliyor.
