Les chercheurs en sécurité de Kaspersky ont identifié une porte dérobée Android sophistiquée appelée Keenadu qui infecte le firmware des appareils au stade de la fabrication, offrant aux attaquants un contrôle quasi total sur les tablettes et téléphones compromis. Cette découverte, publiée le 16 février, révèle des liens entre plusieurs opérations majeures de malwares Android et met en évidence les vulnérabilités persistantes dans les chaînes d’approvisionnement matériel.
Selon l’analyse technique de Kaspersky, Keenadu est intégré directement dans le micrologiciel Android pendant le processus de compilation via une bibliothèque statique compromise liée au fichier système libandroid_runtime.so. Une fois actif, le logiciel malveillant s’injecte dans le processus Zygote d’Android, le processus parent responsable du lancement de toutes les applications, ce qui lui permet de fonctionner au sein de chaque application sur l’appareil et de contourner les protections de sandboxing standard.
« Le logiciel malveillant est un chargeur multi-étapes qui accorde à ses opérateurs la capacité illimitée de contrôler à distance l’appareil de la victime« , ont écrit les chercheurs de Kaspersky dans leur rapport Securelist. La porte dérobée a été découverte lors d’une enquête faisant suite au rapport d’avril 2025 de l’entreprise sur la porte dérobée micrologicielle Triada trouvée dans des smartphones contrefaits.
Tablettes Alldocube touchées, firmware signé numériquement
Kaspersky a retracé les infections jusqu’aux images de micrologiciels provenant de plusieurs fabricants de tablettes, notamment les appareils Alldocube (qui fabrique des tablettes bon marché, performantes). Fait notable, même les versions de micrologiciels publiées après que le fournisseur ait reconnu les problèmes de logiciels malveillants sont restées infectées, et toutes les images analysées portaient des signatures numériques valides, indiquant que la compromission s’est produite pendant le développement plutôt que par le biais d’un serveur de mise à jour piraté.
Au-delà de l’infection au niveau du micrologiciel, Keenadu s’est propagé par des vecteurs supplémentaires. Kaspersky a identifié le logiciel malveillant intégré dans des applications système, notamment des services de reconnaissance faciale et des applications de lanceur. Le backdoor a également atteint les utilisateurs via des versions piégées d’applications populaires distribuées par des dépôts tiers et la boutique GetApps de Xiaomi.
Le plus préoccupant est que des applications infectées ont réussi à se retrouver sur Google Play, cumulant plus de 300 000 téléchargements avant leur suppression. Ces applications de caméra intelligente piégées contenaient un service malveillant qui lançait le composant clicker Nova. Google a supprimé ces applications après notification de Kaspersky.
Fraude publicitaire aujourd’hui, vol de données demain
Bien que le malware soit actuellement axé sur la fraude publicitaire (détournement de recherches dans les navigateurs, simulation de clics sur des publicités et monétisation d’installations d’applications), ses capacités vont bien au-delà. Kaspersky a intercepté des charges utiles ciblant Google Chrome, YouTube, Facebook, Amazon et d’autres applications populaires. Un module surveille tout le texte saisi dans la barre d’adresse de Chrome et peut rediriger les recherches vers des moteurs contrôlés par les attaquants. D’autres composants volent les identifiants de compte des plateformes de messagerie, notamment Telegram et Instagram.
L’enquête a établi des liens opérationnels entre Keenadu et plusieurs grands botnets Android : Triada, BADBOX et Vo1d. Dans certains cas, des composants de BADBOX ont été utilisés pour déployer des modules Keenadu, ce qui suggère une infrastructure partagée ou une collaboration entre opérateurs.
13 700 appareils infectés détectés
En février 2026, les solutions de sécurité mobile de Kaspersky ont détecté plus de 13 700 appareils infectés dans le monde, avec les plus fortes concentrations en Russie, au Japon, en Allemagne, au Brésil et aux Pays-Bas. La suppression de cette menace nécessite l’installation d’un firmware propre, car les outils Android standard ne peuvent pas éliminer le code intégré dans la partition système. Si vous possédez une tablette de marque peu connue ou achetée à bas prix, vérifiez avec un antivirus mobile ou contactez le fabricant pour confirmer l’intégrité du firmware (si c’est possible, et on en doute).
