Ny bakdörr i Android – tusentals enheter kapade via förinstallerad skadlig kod

Hotet, som fått namnet Keenadu, beskrivs som en fullt fungerande bakdörr som kan komma åt allt från bankuppgifter till privata meddelanden.

Sprids via firmware och appar

Keenadu har flera spridningsvägar. Enligt Kaspersky kan den levereras genom manipulerade firmware-uppdateringar via OTA (over-the-air), via andra bakdörrar, inbyggd i systemappar, i modifierade appar från inofficiella källor – och till och med via appar på Google Play.

Den farligaste varianten är den som är integrerad direkt i enhetens firmware. Där kan den operera på systemnivå och påverka alla installerade appar.

I februari 2026 hade Kaspersky bekräftat omkring 13 000 infekterade enheter, främst i Ryssland, Japan, Tyskland, Brasilien och Nederländerna.

Läs också: Nvidia passerade 4 000 miljarder dollar

Jämförs med tidigare Android-hot

Säkerhetsforskarna liknar Keenadu vid Triada, en annan Android-familj som enligt Kaspersky tidigare hittats i förfalskade och lågpris-telefoner via oseriösa leveranskedjor.

Den firmware-baserade versionen av Keenadu aktiveras inte om enheten är inställd på kinesiskt språk eller kinesisk tidszon – en detalj som enligt forskarna kan ge ledtrådar om ursprunget. Skadlig koden slutar också fungera om Google Play Store och Google Play Services saknas på enheten.

Kan stjäla allt – även i inkognitoläge

Även om operatörerna bakom Keenadu just nu främst ägnar sig åt annonsbedrägerier, är kapaciteten betydligt bredare, enligt Kaspersky.

– “Keenadu is a fully functional backdoor that provides the attackers with unlimited control over the victim’s device,” uppger företaget till BleepingComputer.

Läs också: Apple vill köpa F1-rättigheterna

– “It can infect every app installed on the device, install any apps from APK files, and give them any available permissions.”

Forskarna varnar för att all information på enheten kan komprometteras – inklusive bilder, meddelanden, bankuppgifter och platsdata. Skadlig koden övervakar dessutom sökningar som görs i Chrome, även i inkognitoläge.

Hittad i ansiktsigenkänning och populära kameraappar

En variant har hittats inbyggd i en systemapp för ansiktsigenkänning – en funktion som används för upplåsning och autentisering. Den versionen har något mer begränsad funktionalitet, men kan ändå installera appar utan att användaren får någon varning.

Kaspersky har också identifierat Keenadu i appar på Google Play, bland annat i appar för smarta övervakningskameror med över 300 000 nedladdningar. Appar som nu har tagits bort från butiken.

Läs också: Samsung fortsätter med galna priser

När apparna öppnades startade de osynliga webbläsarflikar i bakgrunden och navigerade till olika webbplatser, enligt forskarna.

Google bekräftar att apparna har plockats bort.

– “Android users are automatically protected from known versions of this malware by Google Play Protect,” uppger en talesperson för Google till BleepingComputer.

Företaget betonar att Play Protect är aktiverat som standard på Android-enheter med Google Play Services och kan varna användare samt inaktivera skadliga appar – även om de installerats utanför Play.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns

Svår att få bort

I vissa fall har Keenadu hittats i firmware till Android-surfplattor från flera tillverkare. På en modell, Alldocube iPlay 50 mini Pro, var den manipulerade firmware-versionen daterad den 18 augusti 2023.

Efter att en kund i mars 2024 hävdat att Alldocubes OTA-server komprometterats och att skadlig kod lagts in i uppdateringen, medgav bolaget enligt uppgifter en “virus attack through OTA software”, men gav inga detaljer om hotet.

Kaspersky har publicerat en teknisk analys som visar hur Keenadu manipulerar den centrala systemfilen libandroid_runtime.so – vilket gör att skadlig koden kan köras i kontexten av varje app på enheten.

Eftersom hotet är så djupt integrerat går det inte att ta bort med vanliga Android-verktyg, varnar forskarna. Rekommendationen är att installera en ren firmware från en betrodd källa – eller i värsta fall sluta använda enheten och ersätta den med en modell från auktoriserade återförsäljare.

Läs också: Samsung Galaxy Z Fold7: Tunnare, starkare och snabbare

Hotet visar ännu en gång hur sårbar leveranskedjan för Android-enheter kan vara – och hur svårt det är att skydda sig när skadlig kod byggs in redan från början.