Kaspersky, Android cihazları hedef alan ve Keenadu olarak adlandırdığı yeni bir
zararlı yazılım tespit etti. Çok katmanlı bir dağıtım stratejisine sahip olan bu
yazılım, doğrudan cihazların aygıt yazılımına (firmware) entegre edilebiliyor,
sistem uygulamalarının içine gömülebiliyor ve hatta Google Play gibi resmi uygulama
mağazaları üzerinden yayılabiliyor. Mevcut bulgulara göre Keenadu, halihazırda
enfekte ettiği cihazları birer bot gibi kullanarak reklam tıklama trafiği
oluşturmak (reklam dolandırıcılığı) amacıyla kullanılıyor. Ancak yazılımın
bazı varyantları, saldırganlara kurbanın cihazı üzerinde tam kontrol yetkisi tanıyacak
kadar ileri seviye kötü amaçlı özellikler barındırıyor.

Şubat 2026 itibarıyla Kaspersky mobil güvenlik çözümleri, Keenadu bulaşmış 13.000'den
fazla cihaz tespit etti. En fazla etkilenen ülkeler arasında Rusya, Japonya,
Almanya, Brezilya, Hollanda ve Türkiye yer alıyor. Bununla birlikte birçok
farklı ülke de bu durumdan etkilenmiş durumda.

Doğrudan Aygıt Yazılımına (Firmware) Entegre Ediliyor
Kaspersky'nin 2025 yılında tespit ettiği Triada arka kapısına (backdoor) benzer
şekilde, Keenadu'nun bazı sürümlerinin tedarik zinciri aşamasında çeşitli Android
tablet modellerinin aygıt yazılımına sızdırıldığı anlaşıldı. Bu varyantta Keenadu,
saldırganlara cihaz üzerinde sınırsız kontrol imkanı sunan tam işlevli bir
arka kapı olarak faaliyet gösteriyor. Cihazda yüklü olan her uygulamaya bulaşabilen
yazılım, APK dosyaları üzerinden istenilen uygulamayı yükleyebiliyor ve
bunlara tüm sistem izinlerini tanımlayabiliyor. Sonuç olarak, medya dosyaları,
mesajlar, bankacılık bilgileri ve konum verileri dahil olmak üzere cihazdaki tüm
hassas bilgiler tehlikeye giriyor. Yazılımın, kullanıcının Chrome tarayıcısı
üzerinden gizli sekmede (incognito) yaptığı aramaları bile takip ettiği saptandı.

Aygıt yazılımına entegre edilen bu zararlı, belirli koşullara göre farklı davranışlar
sergiliyor: Cihaz dili Çince lehçelerinden birine ayarlıysa veya saat dilimi
Çin olarak seçilmişse yazılım aktifleşmiyor. Ayrıca, cihazda Google Play Store
ve Google Play Hizmetleri yüklü değilse yine çalışmıyor.

Sistem Uygulamalarına Sızıyor
Bu varyantta Keenadu'nun işlevselliği nispeten daha kısıtlı olsa da, normal uygulamalara
kıyasla yüksek yetkilere sahip bir sistem uygulamasının içinde barındığı
için kullanıcıdan habersiz uygulama yüklemeye devam edebiliyor. Kaspersky uzmanları,
Keenadu'nun cihazın yüz tanıma kilidinden sorumlu bir sistem uygulamasına
gömüldüğünü keşfetti, bu durum saldırganların potansiyel olarak kullanıcıların
biyometrik yüz verilerine erişebileceği anlamına geliyor. Bazı vakalarda ise
yazılımın, ana ekran arayüzünü yöneten launcher uygulamasına sızdığı görüldü.

Android Uygulama Mağazaları Üzerinden Dağıtılan Uygulamalara Gömülü Varyant
Kaspersky uzmanları, Google Play'de yer alan bazı uygulamaların da Keenadu ile enfekte
olduğunu ortaya çıkardı. Özellikle akıllı ev kameraları için geliştirilen
ve 300.000'den fazla indirilen bu uygulamalar, raporun yayınlandığı tarih itibarıyla
Google Play'den kaldırıldı. Bu uygulamalar çalıştırıldığında, saldırganlar
arka planda kullanıcıya görünmeyen tarayıcı sekmeleri açarak çeşitli web sitelerinde
gizlice gezinebiliyor. Daha önce farklı siber güvenlik araştırmacıları
tarafından yapılan çalışmalar da benzer enfekte uygulamaların bağımsız APK dosyaları
veya farklı uygulama mağazaları üzerinden dağıtıldığını doğrulamıştı.

Kaspersky Güvenlik Araştırmacısı Dmitry Kalinin konuya ilişkin şunları söyledi:
Son araştırmamız, ön yüklü zararlı yazılımların Android ekosisteminde ne kadar
ciddi bir tehdit haline geldiğini gösteriyor. Kullanıcı hiçbir hatalı işlem yapmasa
dahi cihaz kutusundan virüslü çıkabiliyor. Bu riskin bilincinde olmak ve
bu tür tehditleri engelleyebilecek güvenlik çözümleri kullanmak kritik önem taşıyor.
Yazılım kendini yasal bir sistem bileşeni gibi kamufle ettiği için muhtemelen
üreticiler de tedarik zincirindeki bu sızmanın farkında değildi. Cihaz yazılımlarının
enfekte olmadığından emin olmak için üretim sürecinin her aşamasının
titizlikle denetlenmesi şart.

Daha fazla bilgi için Securelist'te yayımlanan blog yazısına göz atabilirsiniz.
Kullanıcılara Yönelik Öneriler:
- Cihazınızdaki tehditlerden anında haberdar olmak için etkin bir güvenlik çözümü
kullanın.
- Eğer cihazınızda enfekte bir aygıt yazılımı (firmware) varsa, üreticinin sunduğu
güncellemeleri kontrol edin. Güncelleme sonrası cihazınızı mutlaka tam kapsamlı
bir güvenlik taramasından geçirin.
- Bir sistem uygulamasının enfekte olması durumunda, uygulamayı kullanmayı bırakın
ve devre dışı bırakın. Varsayılan başlatıcı (launcher) uygulaması enfekteyse,
devre dışı bırakarak üçüncü taraf bir başlatıcı kullanın.



-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -