Kaspersky, Android aygıtları amaç alan ve Keenadu olarak isimlendirdiği yeni bir ziyanlı yazılım tespit etti. Çok katmanlı bir dağıtım stratejisine sahip olan bu yazılım; direkt aygıtların aygıt yazılımına (firmware) entegre edilebiliyor, sistem uygulamalarının içine gömülebiliyor ve hatta Google Play üzere resmi uygulama mağazaları üzerinden yayılabiliyor. Mevcut bulgulara nazaran Keenadu, halihazırda enfekte ettiği aygıtları birer “bot” üzere kullanarak reklam tıklama trafiği oluşturmak (reklam dolandırıcılığı) emeliyle kullanılıyor. Lakin yazılımın birtakım varyantları, saldırganlara kurbanın aygıtı üzerinde tam denetim yetkisi tanıyacak kadar ileri düzey makûs maksatlı özellikler barındırıyor.
Şubat 2026 prestijiyle Kaspersky taşınabilir güvenlik tahlilleri, Keenadu bulaşmış 13.000’den fazla aygıt tespit etti. En fazla etkilenen ülkeler ortasında Rusya, Japonya, Almanya, Brezilya, Hollanda ve Türkiye yer alıyor. Bununla birlikte birçok farklı ülke de bu durumdan etkilenmiş durumda.
Doğrudan Aygıt Yazılımına (Firmware) Entegre Ediliyor
Kaspersky’nin 2025 yılında tespit ettiği Triada art kapısına (backdoor) benzer formda, Keenadu’nun kimi sürümlerinin tedarik zinciri evresinde çeşitli Android tablet modellerinin aygıt yazılımına sızdırıldığı anlaşıldı. Bu varyantta Keenadu, saldırganlara aygıt üzerinde sınırsız denetim imkanı sunan tam fonksiyonlu bir art kapı olarak faaliyet gösteriyor. Aygıtta yüklü olan her uygulamaya bulaşabilen yazılım, APK evrakları üzerinden istenilen uygulamayı yükleyebiliyor ve bunlara tüm sistem müsaadelerini tanımlayabiliyor. Sonuç olarak; medya evrakları, bildiriler, bankacılık bilgileri ve pozisyon bilgileri dahil olmak üzere aygıttaki tüm hassas bilgiler tehlikeye giriyor. Yazılımın, kullanıcının Chrome tarayıcısı üzerinden saklı sekmede (incognito) yaptığı aramaları bile takip ettiği saptandı.
Aygıt yazılımına entegre edilen bu ziyanlı, muhakkak şartlara nazaran farklı davranışlar sergiliyor: Aygıt lisanı Çince lehçelerinden birine ayarlıysa yahut saat dilimi Çin olarak seçilmişse yazılım aktifleşmiyor. Ayrıyeten, aygıtta Google Play Store ve Google Play Hizmetleri yüklü değilse tekrar çalışmıyor.
Sistem Uygulamalarına Sızıyor
Bu varyantta Keenadu’nun fonksiyonelliği nispeten daha kısıtlı olsa da, olağan uygulamalara kıyasla yüksek yetkilere sahip bir sistem uygulamasının içinde barındığı için kullanıcıdan habersiz uygulama yüklemeye devam edebiliyor. Kaspersky uzmanları, Keenadu’nun aygıtın yüz tanıma kilidinden sorumlu bir sistem uygulamasına gömüldüğünü keşfetti; bu durum saldırganların potansiyel olarak kullanıcıların biyometrik yüz datalarına erişebileceği manasına geliyor. Birtakım hadiselerde ise yazılımın, ana ekran arayüzünü yöneten “launcher” uygulamasına sızdığı görüldü.
Android Uygulama Mağazaları Üzerinden Dağıtılan Uygulamalara Gömülü Varyant
Kaspersky uzmanları, Google Play’de yer alan birtakım uygulamaların da Keenadu ile enfekte olduğunu ortaya çıkardı. Bilhassa akıllı mesken kameraları için geliştirilen ve 300.000’den fazla indirilen bu uygulamalar, raporun yayınlandığı tarih prestijiyle Google Play’den kaldırıldı. Bu uygulamalar çalıştırıldığında, saldırganlar art planda kullanıcıya görünmeyen tarayıcı sekmeleri açarak çeşitli web sitelerinde gizlice gezinebiliyor. Daha evvel farklı siber güvenlik araştırmacıları tarafından yapılan çalışmalar da emsal enfekte uygulamaların bağımsız APK evrakları yahut farklı uygulama mağazaları üzerinden dağıtıldığını doğrulamıştı.
Kaspersky Güvenlik Araştırmacısı Dmitry Kalinin konuya ait şunları söyledi: “Son araştırmamız, ön yüklü ziyanlı yazılımların Android ekosisteminde ne kadar önemli bir tehdit haline geldiğini gösteriyor. Kullanıcı hiçbir yanılgılı süreç yapmasa dahi aygıt kutusundan virüslü çıkabiliyor. Bu riskin şuurunda olmak ve bu çeşit tehditleri engelleyebilecek güvenlik tahlilleri kullanmak kritik değer taşıyor. Yazılım kendini yasal bir sistem bileşeni üzere kamufle ettiği için muhtemelen üreticiler de tedarik zincirindeki bu sızmanın farkında değildi. Aygıt yazılımlarının enfekte olmadığından emin olmak için üretim sürecinin her evresinin titizlikle denetlenmesi koşul.”
Daha fazla bilgi için Securelist’te yayımlanan blog yazısına göz atabilirsiniz.
Kullanıcılara Yönelik Teklifler:
- Cihazınızdaki tehditlerden anında haberdar olmak için etkin bir güvenlik çözümü kullanın.
- Eğer aygıtınızda enfekte bir aygıt yazılımı (firmware) varsa, üreticinin sunduğu güncellemeleri denetim edin. Güncelleme sonrası aygıtınızı kesinlikle tam kapsamlı bir güvenlik taramasından geçirin.
- Bir sistem uygulamasının enfekte olması durumunda, uygulamayı kullanmayı bırakın ve devre dışı bırakın. Varsayılan başlatıcı (launcher) uygulaması enfekteyse, devre dışı bırakarak üçüncü taraf bir başlatıcı kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
