Un malware est parvenu à infecter des milliers de smartphones Android avant même leur sortie de l’usine. Baptisé Keenadu, le virus transforme les téléphones en machines pour la fraude publicitaire. Le logiciel est aussi capable de piller les données d’un smartphone.
Un nouveau virus a été découvert dans la chaîne d’approvisionnement de nombreux smartphones Android. Débusqué par les chercheurs de Kaspersky, le malware Keenadu a été identifié dans le code de la surcouche Android de plusieurs marques de téléphones. De facto, le logiciel malveillant est préinstallé sur les smartphones dès la sortie de l’usine.
En miroir de virus comme Triada, Keenadu est intégré directement dans le firmware de l’appareil, dans son système d’exploitation originel, lors d’une étape de la chaîne de fabrication. Dès le premier allumage du smartphone, le malware s’active et se lance à l’assaut de ses victimes.
« Comme le montrent nos dernières recherches, les malwares préinstallés constituent un problème de taille sur de nombreux appareils Android. Sans aucune action de la part de l’utilisateur, un appareil peut être infecté dès sa première utilisation. Il est crucial que les utilisateurs prennent conscience de ce risque et utilisent des solutions de sécurité capables de détecter ce type de malwares », nous explique Dmitry Kalinin, chercheur chez Kaspersky.
À lire aussi : Google révèle qu’un milliard de smartphones Android sont vulnérables aux cyberattaques
Fraude publicitaire et vol de données
Une fois activé, le virus va agir comme une porte dérobée. Il va d’abord infecter toutes les applications installées sur l’appareil et en installer de nouvelles à la volée par le biais de fichiers APK récupérés en ligne. Sans surprise, ces applications frauduleuses vont s’octroyer une montagne de permissions Android sur les smartphones, sans que l’utilisateur ne soit prévenu.
Un malware Android qui ne passe pas par les méthodes classiques d’infection.
Keenadu a été identifié via trois vecteurs distincts :
– Préinstallé dans le firmware
– Caché dans des apps système (face unlock, launcher)
– Déguisé dans des app storesPlus de 13 000 appareils… pic.twitter.com/k4YpXkjVjg
— Kaspersky France (@kasperskyfrance) February 17, 2026
Pour l’instant, les cybercriminels exploitent surtout le malware à des fins de fraude publicitaire. Il est en effet taillé pour transformer les téléphones en bots qui cliquent sur des publicités, ce qui générent rapidement des revenus publicitaires frauduleux. Techniquement, rien n’empêche les pirates de changer leur fusil d’épaule et de se reconvertir dans le vol massif de données.
Selon les investigations menées par Kaspersky, le virus Keenadu est en effet capable de siphonner une grande quantité d’informations, dont les messages, les identifiants bancaires, la localisation GPS de l’appareil, ou encore toutes les recherches réalisées sur Chrome, même en navigation privée. Le mode incognito, censé protéger votre vie privée, n’est donc d’aucune utilité face à Keenadu.
À lire aussi : Des millions de smartphones ont été transformés en « usines à publicités »
Un malware qui rôde aussi sur le Play Store
Kaspersky souligne que Keenadu se cache dans une application système de déverrouillage par reconnaissance faciale et dans le launcher, l’interface qui affiche l’écran d’accueil Android. Il s’agit d’une décision stratégique qui empêche l’utilisateur de désinstaller, même sans s’en rendre compte, le composant qui renferme le virus. La suppression revient en effet à se priver de fonctions phares du smartphone. Le virus a aussi été longuement analysé par les chercheurs de Zimperium. Selon leurs investigations, le malware s’implante aussi directement dans le « processus parent Android Zygote », qui est à « l’origine du lancement de toutes les applications ».
« En s’implantant durablement au niveau du micrologiciel, les cybercriminels peuvent surveiller l’activité, manipuler les applications et maintenir un accès persistant aux systèmes de l’entreprise sans aucune interaction de l’utilisateur », explique Nico Chiaraviglio de Zimperium.
Le malware ne se contente pas d’infecter des smartphones au moment de leur conception. Le logiciel malveillant se cache aussi sur le Play Store. Trois applications dédiées aux caméras de surveillance connectées, à savoir Eyeplus, Ziicam et Eoolii, cachent en effet le virus. Ces applications cumulent plus de 300 000 téléchargements sur la plateforme de Google. Ces applications ont depuis été retirées de la boutique. Google confirme que le Play Protect, la solution de sécurité par défaut d’Android, bloque désormais toutes les variantes connues du malware.
« Les utilisateurs Android bénéficient automatiquement d’une protection contre les variantes connues de ce malware grâce à Google Play Protect, activé par défaut sur les appareils dotés des services Google Play. Google Play Protect peut alerter l’utilisateur et désactiver les applications présentant un comportement associé à Keenadu, y compris lorsqu’elles ont été installées depuis des sources tierces en dehors du Play Store. Par précaution, Google recommande aux utilisateurs de vérifier que leur appareil est bien certifié Play Protect », explique Google à Bleeping Computer.
Un virus qui viendrait de la Chine
Les experts de Kaspersky ont remarqué que le malware s’auto-désactive si la langue système correspond à un dialecte chinois ou si le fuseau horaire est réglé sur l’une des zones de la Chine. Avant d’agir, le malware vérifie également la présence des services Google Play, absents des téléphones Android chinois. C’est pourquoi les chercheurs estiment que le virus est probablement d’origine chinoise.
En multipliant les vecteurs d’attaque, le virus est parvenu à pirater plus de 13 000 smartphones à travers le monde. La plupart des victimes se trouvent en Russie, au Japon, en Allemagne, au Brésil et aux Pays-Bas. Le malware vise surtout les appareils vendus par des marques chinoises low cost, disponibles sur Amazon et AliExpress. Ces marques font appel à des intermédiaires méconnus, sans contrôles de sécurité, pour réduire les coûts.
Kaspersky cite notamment la marque Alldocube, qui commercialise par exemple le iPlay 50 mini Pro (T811M). Les chercheurs russes ont prévenu toutes les marques concernées, mais n’ont pas souhaité divulguer publiquement la liste de toutes les entreprises touchées.
« Les constructeurs n’étaient probablement pas informés de la compromission de la chaîne d’approvisionnement ayant permis à Keenadu d’infiltrer les appareils, car le malware imitait des composants système légitimes. Il est donc primordial de contrôler chaque étape du processus de production afin de garantir que le firmware des appareils n’est pas infecté », relate le chercheur Dmitry Kalinin.
Comment se débarrasser du malware Keenadu ?
Puisque Keenadu se préinstalle sur les smartphones au moment de la fabrication, il est très difficile de se débarrasser du malware. Les méthodes habituelles, telles que la réinitialisation d’usine ou la désinstallation d’applications vérolées, ne fonctionnent pas. Les chercheurs conseillent de vérifier en priorité si une mise à jour système officielle est disponible, puis de lancer une analyse complète avec une solution de sécurité. Si c’est le launcher qui est compromis, Kaspersky conseille de le désactiver et d’en installer un alternatif, comme Nova Launcher, Niagara Launcher ou encore Lawnchair.
Bien souvent, la solution la plus efficace reste de réinstaller complètement un système d’exploitation sain, sans virus, sur le smartphone. Cette pratique, radicale mais efficiente, s’appelle « flasher » un firmware. Si ce n’est pas dans vos cordes, Kaspersky recommande plus simplement de changer de smartphone. C’est toujours mieux d’investir dans un nouveau téléphone que d’exposer toutes vos données, y compris bancaires, à des cybercriminels.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.