Les chercheurs en cybersécurité de Kaspersky ont identifié une nouvelle menace pour l’écosystème Android : Keenadu. Ce malware s’intègre directement dans le firmware des appareils, ce qui lui confère des privilèges élevés et le rend particulièrement difficile à éradiquer.
De la fraude publicitaire… pour le moment
Keenadu prend place au sein de la bibliothèque libandroid_runtime.so. En se greffant à ce niveau, il s’exécute dans le contexte de chaque application lancée sur l’appareil, contournant ainsi le sandboxing.
Similaire à celle du malware Triada, la méthode permet aux attaquants d’obtenir un » contrôle illimité sur l’appareil de la victime « . Une fois actif, Keenadu agit tel un loader en plusieurs étapes, capable de télécharger et d’exécuter des modules malveillants supplémentaires.
Bien que son activité principale actuelle soit la fraude publicitaire, comme le détournement de requêtes de recherche ou la simulation de clics, ses capacités sont bien plus vastes. Il peut compromettre toutes les informations de l’appareil.
Du ménage a été fait dans le Google Play Store
L’infection se propage principalement via une attaque de la chaîne d’approvisionnement, où le malware est injecté durant la phase de construction du firmware. Les firmwares compromis portent des signatures numériques valides.
En février 2026, Kaspersky a détecté plus de 13 000 appareils Android touchés par Keenadu et fait mention de tablettes. Sont essentiellement touchés les utilisateurs en Russie, au Japon, en Allemagne, au Brésil et aux Pays-Bas.
Au-delà du firmware, des modules de Keenadu ont aussi été découverts sur le Google Play Store dans des applications de caméras de surveillance intelligentes qui totalisaient plus de 300 000 téléchargements. Elles ont toutes été supprimées de Google Play.