Mã độc Android Keenadu: Mối đe dọa tinh vi với hàng nghìn thiết bị toàn cầu
Mã độc Android Keenadu đe dọa hàng nghìn thiết bị

Mã độc Android Keenadu: Mối đe dọa tinh vi với hàng nghìn thiết bị toàn cầu

Theo báo cáo mới nhất từ Bleeping Computer, các chuyên gia an ninh mạng tại Kaspersky vừa phát hiện một loại mã độc Android cực kỳ nguy hiểm có tên Keenadu. Mã độc này được đánh giá có mức độ tinh vi cao và phạm vi lây nhiễm rộng, từ firmware của nhiều hãng thiết bị cho đến một số ứng dụng từng xuất hiện trên cửa hàng Google Play chính thức.

Phương thức lây nhiễm đa dạng và nguy hiểm

Điểm đáng lo ngại nhất là đã có biến thể của mã độc Keenadu tồn tại ngay trong firmware của thiết bị. Điều này cho phép kẻ tấn công can thiệp sâu vào hệ điều hành và giành toàn quyền kiểm soát thiết bị mà người dùng không hề hay biết. Các chuyên gia Kaspersky nhận định Keenadu sở hữu nhiều cơ chế phát tán phức tạp:

  • Qua bản cập nhật OTA (Over-the-Air) đã bị can thiệp và thao túng
  • Thông qua các cửa hậu (backdoor) được cài đặt sẵn
  • Được nhúng trực tiếp trong các ứng dụng hệ thống
  • Phát tán qua ứng dụng chỉnh sửa từ nguồn không chính thức
  • Thậm chí thông qua ứng dụng trên Google Play Store

Quy mô lây nhiễm và so sánh với mã độc trước đây

Tính đến tháng 2 năm 2026, Kaspersky cho biết đã có khoảng 13.000 thiết bị bị nhiễm mã độc Keenadu trên toàn cầu, tập trung chủ yếu tại các quốc gia: Nga, Nhật Bản, Đức, Brazil và Hà Lan. Các chuyên gia cũng đưa ra so sánh đáng chú ý giữa Keenadu với Triada - họ mã độc từng gây chấn động trên các thiết bị Android giá rẻ vào năm 2025.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Keenadu được Kaspersky đánh giá là một nền tảng phần mềm độc hại có quy mô lớn và cấu trúc phức tạp, cung cấp cho kẻ tấn công quyền kiểm soát không hạn chế đối với thiết bị bị lây nhiễm.

Khả năng gây hại và phương thức hoạt động

Với biến thể nằm trong firmware, Keenadu có khả năng lây nhiễm mọi ứng dụng trên thiết bị, tự động cài đặt các tập tin APK độc hại và cấp toàn bộ quyền cần thiết mà không cần sự cho phép của người dùng. Hậu quả nghiêm trọng là các dữ liệu nhạy cảm như:

  1. Ảnh và video cá nhân
  2. Tin nhắn riêng tư
  3. Thông tin ngân hàng và tài chính
  4. Vị trí địa lý thực tế

đều có nguy cơ cao bị đánh cắp và lạm dụng. Đáng báo động hơn, mã độc này thậm chí có thể theo dõi các truy vấn tìm kiếm trên trình duyệt Chrome ngay cả khi người dùng đang ở chế độ ẩn danh.

Đặc điểm nhận dạng và trường hợp cụ thể

Một điểm đáng chú ý là Keenadu có thể không kích hoạt nếu thiết bị được đặt ngôn ngữ hoặc múi giờ liên quan đến Trung Quốc. Đồng thời, mã độc này sẽ tự động dừng hoạt động nếu thiết bị thiếu Google Play StoreGoogle Play Services.

Kaspersky cũng phát hiện biến thể Keenadu được nhúng trong ứng dụng hệ thống nhận diện khuôn mặt. Trước đó, mã độc này từng xuất hiện trong ứng dụng camera nhà thông minh trên Google Play với khoảng 300.000 lượt tải trước khi bị gỡ bỏ khẩn cấp.

Trong một trường hợp cụ thể, trên máy tính bảng Alldocube iPlay 50 mini Pro bị lây nhiễm, các nhà nghiên cứu phát hiện firmware chứa mã độc Keenadu có thời gian từ tháng 8 năm 2023. Hãng sản xuất này cũng đã thừa nhận bị tấn công bằng mã độc qua OTA vào tháng 3 năm 2024.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Khuyến nghị bảo vệ và cảnh báo tương lai

Do bị nhúng quá sâu vào hệ thống, Kaspersky khuyến nghị người dùng cần tìm firmware chính thức từ nhà sản xuất để cài đặt lại toàn bộ hệ thống. Biện pháp an toàn nhất là ngừng sử dụng thiết bị bị nhiễm và chỉ mua thiết bị từ các kênh phân phối tin cậy, có uy tín.

Mặc dù hiện tại Kaspersky đã chứng minh phần mềm độc hại này chủ yếu được sử dụng cho nhiều loại gian lận quảng cáo khác nhau, nhưng các chuyên gia cũng không loại trừ khả năng trong tương lai Keenadu có thể đi theo bước chân của Triada và bắt đầu tập trung vào việc đánh cắp thông tin đăng nhập, mật khẩu và các dữ liệu nhạy cảm khác của người dùng.