كاسبرسكي تكتشف برمجية ”Keenadu” الخبيثة التي قد تصل إلى مستخدمي أندرويد مُثبتة مسبقاً على أجهزة جديدة

اكتشفت كاسبرسكي برمجية خبيثة جديدة تستهدف الأجهزة العاملة بنظام "Android" وأطلقت عليها اسم "Keenadu". وتنتشر هذه البرمجية الخبيثة بطرق متعددة، إذ يمكن تثبيتها مسبقاً ضمن البرامج الثابتة للجهاز، أو تضمينها في تطبيقات النظام، أو تنزيلها من متاجر التطبيقات الرسمية مثل متجر جوجل بلاي. وتستخدم برمجية Keenadu حالياً في عمليات الاحتيال الإعلاني، إذ يستغل المحتالون الأجهزة المصابة كبوتات للنقر على روابط الإعلانات، لكنها قابلة للاستخدام لأغراض خبيثة أخرى، لا سيما أنّ بعض أنواعها تتيح للمهاجمين التحكم الكامل في جهاز الضحية.

رصدت حلول كاسبرسكي لأمن الأجهزة المحمولة أكثر من 13,000 جهاز مصاب ببرمجية Keenadu حتى شهر فبراير 2026. وكان العدد الأكبر من المستخدمين المتضررين في دول روسيا، واليابان، وألمانيا، والبرازيل، وهولندا، وتركيا، فضلاً عن تسجيل حالات أخرى في دول ثانية.

مدمجة في البرنامج الثابت للجهاز

على غرار برمجية الباب الخلفي Triada التي اكتشفتها كاسبرسكي عام 2025، دُمجت بعض إصدارات برمجية Keenadu في البرنامج الثابت لطرازات عديدة من الأجهزة اللوحية العاملة بنظام أندرويد، وتم هذا الأمر في إحدى مراحل سلسلة التوريد. وفي هذا الإصدار، تكون Keenadu أداة باب خلفي متكاملة الوظائف، وتتيح للمهاجمين التحكم الكامل بجهاز الضحية. فتستطيع البرمجية إصابة جميع التطبيقات المثبتة في جهاز الضحية، وتثبيت ملفات APK في الجهاز، ومنحها جميع الصلاحيات المتاحة. وبذلك، يتسنّى للمهاجمين الوصول إلى جميع المعلومات المتوفرة في الجهاز مثل الوسائط، والرسائل، وبيانات الاعتماد المصرفية، والموقع، وغيرها. كما تراقب البرمجية الخبيثة عمليات البحث التي يجريها المستخدم في وضع المتصفح الخفي لكروم.

عندما تُدمج برمجية Keenadu في البرامج الثابتة، يختلف سلوكها وفقاً لعوامل عديدة. فعلى سبيل المثال، تتوقف البرمجية الخبيثة عن العمل عند تعيين لغة الجهاز على إحدى اللهجات الصينية، وضبط الوقت وفقاً لإحدى المناطق الزمنية الصينية. ولن تشتغل البرمجية أيضاً إذا خلا الجهاز من تطبيقي متجر جوجل بلاي وخدمات جوجل بلاي.

مدمجة داخل تطبيقات النظام

تكون وظائف برمجية Keenadu الخبيثة محدودة في هذا الإصدار، فلا تستطيع إصابة جميع التطبيقات في الجهاز، لكنها تستغل وجودها ضمن تطبيقات النظام ذات الصلاحيات الأعلى من التطبيقات العادية، فتستطيع بذلك تثبيت تطبيقات جانبية يختارها المهاجمون دون علم المستخدم. كما اكتشفت كاسبرسكي وجود برمجية Keenadu في تطبيق نظام مسؤول عن فتح الجهاز باستخدام ميزة التعرف إلى الوجه، مما يعني أنّ المهاجمين قد يحصلون على بيانات وجه الضحية. وفي بعض الحالات، كانت برمجية Keenadu الخبيثة مضمنة في تطبيق الشاشة الرئيسية المسؤول عن إدارة الواجهة الرئيسية.

مدمجة في تطبيقات منتشرة في متاجر تطبيقات أندرويد

اكتشف خبراء كاسبرسكي أنّ بعض التطبيقات المنشورة في متجر جوجل بلاي مصابة ببرمجية Keenadu الخبيثة. وكانت هذه التطبيقات خاصة بكاميرات المنازل الذكية، وجرى تحميلها أكثر من 300 ألف مرة. وقد حذفت تلك التطبيقات من المتجر بحلول وقت نشر هذا التقرير. وعندما يشغل المستخدم أحد تلك التطبيقات، يعمد المهاجمون إلى فتح نوافذ تصفح خفية داخلها، مما يسمح لهم بتصفح مواقع ويب متنوعة دون علم المستخدم. وأشارت أبحاث سابقة لباحثين آخرين في الأمن السيبراني إلى وجود تطبيقات مصابة مماثلة، وأوضح الباحثون أنها تتوزع عبر ملفات APK مستقلة أو عبر متاجر تطبيقات أخرى.

تطبيقات مصابة بالبرمجية في متجر جوجل بلاي

يعلق على هذه المسألة ديمتري كالينين، الباحث الأمني في كاسبرسكي: «تؤكد أبحاثنا الأخيرة أنّ البرمجيات الخبيثة المثبتة مشكلة أمنية مقلقة في كثير من الأجهزة العاملة بنظام أندرويد. فقد يصبح الجهاز مخترقاً فور إخراجه من علبته دونما أي تدخل أو إجراء من المستخدم. لذلك، ينبغي للمستخدمين أن ينتبهوا إلى هذا الخطر الداهم، وعليهم استخدام حلول أمنية موثوقة قادرة على اكتشاف برمجيات خبيثة من هذه الشاكلة. ويرجح أنّ الشركات المصنعة لم تكن تدري بالاختراق الذي طال سلسلة التوريد، والذي تسبب بوصول برمجية Keenadu إلى الأجهزة، لا سيما أنها كانت تتخفى كأحد مكونات النظام الأصلية. وهكذا، يجب فحص كل مرحلة من مراحل عملية الإنتاج لضمان عدم وصول البرمجيات الخبيثة إلى البرامج الثابتة للأجهزة»

لمزيد من المعلومات، يرجى الاطلاع على المنشور في موقع Securelist.

التوصيات:

• استخدم حلاً أمنياً موثوقاً لتلقّي إشعارات فورية بالتهديدات المماثلة على جهازك.

• إذا كنت تستخدم جهازاً فيه برامج ثابتة مصابة بالبرمجية، فتحقق من وجود تحديثات لتلك البرامج، واحرص على فحص الجهاز باستخدام حل أمني بعد إتمام عملية التحديث.

• إذا كان أحد تطبيقات النظام مصاباً بالبرمجية، فينبغي التوقف عن استخدامه وتعطيله فوراً. أما إذا أصابت البرمجية أحد تطبيقات واجهة الشاشة، فننصح بتعطيل التطبيق الافتراضي والتحول إلى تطبيق خارجي موثوق.