Nový Android virus číhá v tabletu už od výroby. Sleduje i anonymní režim a rovnou krade data z bankovnictví
Bezpečnostní firma Kaspersky odhalila backdoor jménem Keenadu, který se do Android tabletů dostává ještě ve fázi výroby firmwaru, a uživatel ho nemá šanci odhalit.
Obsah článku
Keenadu není klasická škodlivá aplikace, kterou si člověk stáhne z pochybného webu. Jde o vícevrstvá zadní vrátka zabudovaná přímo do systémových knihoven zařízení. V nejhorší variantě se škodlivý kód napojí na klíčovou systémovou knihovnu libandroid_runtime.so, a tím se automaticky načte do každé spuštěné aplikace, včetně prohlížeče Chrome a bankovních aplikací. Právě proto anonymní režim v Chrome nepomáhá: malware nesbírá historii prohlížení z cloudu, ale sleduje přímo textové pole adresního řádku v reálném čase, ať už je anonymní režim zapnutý, nebo ne. A protože běží v kontextu systémových procesů a aplikací, může získat přístup i k citlivým údajům, včetně přihlašovacích údajů do internetového bankovnictví. Kaspersky ve svém únorovém reportu výslovně uvádí, že u firmwarové varianty mohou být bankovní přístupy kompromitovány.
Jak se virus dostane do tabletu ještě před prvním zapnutím
Podle technického reportu Kaspersky ze 17. února 2026 došlo ke kompromitaci dodavatelského řetězce přímo ve fázi sestavování firmwaru. Útočníci do zdrojového kódu propašovali škodlivou závislost napojenou na systémovou knihovnu, kterou Android používá ke spouštění aplikací. V několika případech se infikovaný firmware dostal do zařízení dokonce prostřednictvím oficiální OTA aktualizace, tedy aktualizace „vzduchem“, kterou si uživatel stáhne v dobré víře, že si zlepšuje zabezpečení.
Výrobci o tom podle Kaspersky pravděpodobně nevěděli. Backdoor se tak ocitl v zařízeních ještě před prvním přihlášením zákazníka. Žádná obezřetnost, žádné vyhýbání se podezřelým odkazům, nic z toho nepomůže, když je hrozba součástí samotného operačního systému.
Co přesně Keenadu umí a proč je anonymní režim k ničemu
Modul pro Chrome funguje jednoduše a účinně. Hledá aktivitu ChromeTabbedActivity, napojí se na textové pole url_bar a odchytává každou změnu textu. Cokoliv uživatel napíše do adresního řádku (hledaný výraz, adresu banky nebo citlivé údaje zadané do URL) může putovat na řídicí server útočníků. Anonymní režim chrání před ukládáním historie do prohlížeče, ale Keenadu pracuje o úroveň níž, přímo v běžícím procesu aplikace. Anonymita je tak pouze iluze.
Vedle sledování prohlížeče backdoor zvládá:
- přidělovat si systémová oprávnění bez vědomí uživatele
- tiše instalovat další aplikace (APK)
- stahovat a spouštět další moduly podle toho, jaká aplikace právě běží
- generovat podvodné klikání na reklamy (ad fraud)
- přesměrovávat výsledky vyhledávání
Kaspersky k únoru 2026 evidoval přes 13 700 zasažených zařízení po celém světě. Nejčastěji v Rusku, Japonsku, Německu, Brazílii a Nizozemsku. Česko mezi pěticí nejzasaženějších zemí nefiguruje, ale výslovně vyloučeno také není.
Které tablety jsou potvrzené a co se řeší v Česku
Kompletní seznam zasažených značek Kaspersky nezveřejnil, mluví obecně o „několika značkách“. Jediný výrobce, který situaci veřejně přiznal a řešil, je Alldocube. Ve svém závěrečném oznámení ze 4. března 2026 jmenoval čtyři dotčené modely:
- iPlay 60 mini Pro
- iPlay 60 Pro
- iPlay 50 mini Pro (včetně varianty NFE)
- iPlay 70 Pro
Alldocube následně vydal opravné OTA aktualizace a požádal Kaspersky o nezávislý audit opraveného firmwaru. Podle výrobce šlo o „několik starších modelů“, ne o celou produktovou řadu.
Pro český kontext je podstatné, že minimálně model iPlay 60 Mini Pro byl v polovině července 2026 běžně nabízený na Allegro.cz. Model iPlay 50 Mini Pro se v českém prostředí recenzoval a objednával prostřednictvím dovozu. Část dotčených tabletů se tedy k českým zákazníkům prokazatelně dostala.
Aplikace z Google Play jsou zpět, a to je znepokojivé
Kaspersky v únoru 2026 popsal tři trojanizované aplikace pro chytré kamery (Ziicam, Eyeplus a Eoolii), které měly dohromady přes 300 000 stažení z oficiálního Google Play. V době publikace reportu už měly být z obchodu odstraněny. Jenže k 13. červenci 2026 byly všechny tři znovu dohledatelné v Google Play, a to včetně tlačítka „Nainstalovat“. Stránka Ziicam byla dokonce lokalizovaná do češtiny.
Z veřejně dostupných podkladů neplyne, zda jde o očištěné verze, nebo o nově publikované balíčky bez úprav. Právě balíček Eoolii (com.taismart.global) přitom Kaspersky označil jako jediný, ve kterém se škodlivá služba skutečně spouštěla. To, že je opět volně ke stažení, vyvolává otázky o účinnosti kontrolních mechanismů Google Play.
Proč je Keenadu horší než běžný malware
Srovnání s backdoorem Triada, který Kaspersky popsal v dubnu 2025, ukazuje znepokojivý trend. Oba útoky cílí na systémový proces Zygote, bránu, přes kterou Android spouští všechny aplikace. Triada se ale šířila hlavně přes padělaná zařízení a zaměřovala se na krádeže kryptoměn a účtů ze služeb jako Telegram nebo WhatsApp. Keenadu je sofistikovanější: proniká do legitimního dodavatelského řetězce skutečných značek a kombinuje firmwarovou infekci s distribucí přes Google Play.
Tovární reset nepomůže, protože systémový oddíl zůstane nedotčený. Kaspersky doporučuje přeflashovat čistý firmware, pokud je dostupný, a do té doby zařízení nepoužívat pro bankovnictví ani jiné citlivé činnosti. U nakažených systémových aplikací, jako je launcher nebo služba rozpoznávání obličeje, doporučuje jejich vypnutí pomocí příkazů ADB.
Největší škoda, kterou Keenadu způsobuje, není technická. Je to ztráta důvěry v celý řetězec, od továrny přes firmware až po oficiální obchod s aplikacemi. Když si člověk nemůže být jistý ani novým zařízením z krabice, pravidla mobilní bezpečnosti přestávají platit.