Väčšina ľudí si Android malware predstaví ako podozrivú aplikáciu zo stiahnutého APK. Nainštalujete, zbadáte problém, zmažete a problém by mal byť vyriešený. V horšom prípade musíte urobiť továrenský reset a začnete odznova. Pri malvéri Keenadu ale táto logika nefunguje.
Keenadu je súčasťou systému od výroby
Bezpečnostní výskumníci z Kaspersky opísali začiatkom roka 2026 Keenadu ako backdoor nájdený priamo vo firmvéri Android tabletov. Škodlivý kód sa dostal do systémovej knižnice libandroid_runtime.so a napojil sa na proces Zygote – teda jadro, z ktorého Android spúšťa všetky aplikácie. Keenadu sa tak môže načítavať do priestoru bežných aplikácií pri každom ich spustení.
Konkrétne bol zdokumentovaný prípad tabletu Alldocube iPlay 50 mini Pro. Ide o zariadenie značky, ktorá je bežné dostupná napríklad na trhovisku Aliexpress. Ďalšie postihnuté modely Kaspersky nemenoval, takže nie je možné zostaviť kompletný zoznam rizikových zariadení.
Prečo továrenský reset nestačí
Továrenský reset v tomto prípade vymaže používateľské dáta – aplikácie, fotky, účty, nastavenia. Systémový obraz však väčšinou nedotknutý ponechá. Ak je malvér uložený v systémovej časti firmvéru, reset zariadenie vráti do rovnako nakazeného stavu, v akom ste ho kúpili.
Podobný problém popisuje aj írske Národné centrum kybernetickej bezpečnosti v súvislosti s kampaňou BadBox 2.0. Pri zariadeniach podpísaných privilegovanými certifikátmi môže byť infekcia odolná dokonca aj voči manuálnemu prehraniu firmvéru.
Čo Keenadu robí
Na prvý pohľad ide o reklamný podvod – presmerovávanie vyhľadávania, zárobky z inštalácií aplikácií, skryté interakcie s reklamami. Podstatné je však miesto, odkiaľ kód beží: systémová vrstva s oprávneniami, ktoré bežná aplikácia nikdy nemá. Kaspersky popisuje aj možnosť ovládania zariadenia na diaľku a sťahovania ďalších modulov.
Čo robiť, ak máte podozrenie
Kaspersky odporúča hľadať čistú aktualizáciu firmvéru od výrobcu a po jej inštalácii zariadenie skontrolovať napríklad aplikáciou Malwarebytes z Google Play. Stav certifikácie Play Protect overíte v aplikácii Google Play cez profilovú ikonu → Nastavenia → Informácie → Certifikácia Play Protect.
Podozrivé zariadenie nepoužívajte na internetové bankovníctvo, správcu hesiel, pracovné účty ani dvojfaktorové overovanie.
Kde je riziko najvyššie
Lacné tablety a TV boxy od neznámych značok z neoficiálnych distribučných kanálov. Pri zavedenom výrobcovi platíte aj za kontrolu dodávateľského reťazca a pravidelnú vydávanie opráv. Pri anonymnom zariadení často nevie nikto – vrátane predajcu –kto firmvér zostavil a či vôbec niekedy príde aktualizácia.
Varovné znaky: neznáma značka, inštalácia aplikácií mimo Google Play, vypnutý Play Protect, divné správanie hneď po prvom zapnutí.
Ak hľadáte overený iPhone so zárukou, ktorý prešiel rukami odborníkov zo SvetApple.sk, určite sa pozrite do nášho e-shopu Loopi.sk. Nájdete tu starostlivo skontrolované zariadenia za výrazne nižšie ceny než pri nových modeloch. Ušetriť môžete stovky eur, no stále získate spoľahlivý iPhone, ktorý vám bude bez problémov slúžiť ešte dlhé roky. 📱
