Kaspersky découvre Keenadu, un malware complexe préinstallé sur les nouveaux appareils Android

17 février 2026

Kaspersky a détecté Keenadu, un nouveau malware, qui cible les appareils Android. Ce malware se propage sous plusieurs formes : il peut être préinstallé directement dans le firmware (1) des appareils, intégré à des applications système, ou même téléchargé depuis des app stores officiels tels que Google Play. Actuellement, il est utilisé dans le cadre de fraudes publicitaires, les attaquants utilisant les appareils infectés comme des bots pour générer des clics sur des publicités, mais il peut même permettre, dans certains cas, de prendre le contrôle total de l'appareil de la victime.

En février 2026, Kaspersky Mobile Security Solutions a détecté plus de 13 000 appareils infectés par Keenadu. Le plus grand nombre d'utilisateurs ciblés a été observé en Russie, au Japon, en Allemagne, au Brésil et aux Pays-Bas, bien que d'autres pays aient également été touchés.

Une menace intégrée au firmware du terminal…

Tout comme la backdoor Triada détectée par Kaspersky en 2025, certaines versions de Keenadu sont intégrées au firmware de plusieurs modèles de tablettes Android lors de l'une des étapes de la chaîne d'approvisionnement. Dans cette variante, Keenadu est une porte dérobée pleinement fonctionnelle qui offre aux attaquants un contrôle illimité sur l'appareil de la victime. Il peut infecter n'importe quelle application installée, installer d'autres applications à partir de fichiers APK et leur octroyer toutes les autorisations disponibles. Par conséquent, l'intégralité des informations présentes sur l'appareil, tel que les fichiers multimédias, les messages, les identifiants bancaires ou la localisation, peuvent être compromises. Le malware surveille même les recherches effectuées par l'utilisateur sur le navigateur Chrome en mode navigation privée.

Lorsqu'il est intégré au firmware, le malware peut adapter son comportement selon plusieurs facteurs. Il ne s'activera pas si la langue configurée sur l'appareil est l'un des dialectes chinois, ou si l'heure est réglée sur l'un des fuseaux horaires de la Chine. De même, il ne se lancera pas si l'appareil ne dispose pas du Google Play Store et des services Google Play installés.

…mais aussi au sein des applications système…

Au sein de cette variante, les fonctionnalités de Keenadu sont restreintes : il ne peut pas infecter toutes les applications de l'appareil. Cependant, comme il se trouve au sein d'une application système qui bénéficie de privilèges par rapport aux applications classiques, il peut tout de même installer n'importe quelle application tierce choisie par les attaquants, à l'insu de l'utilisateur. Plus inquiétant encore, Kaspersky a découvert Keenadu dissimulé dans une application système chargée du déverrouillage de l'appareil par reconnaissance faciale. Les attaquants pourraient ainsi potentiellement s'emparer des données biométriques de la victime. Dans certains cas, Keenadu a même été intégré à l’application responsable de l'interface de l'écran d'accueil (launcher).

…et embarqué dans des apps provenant de l’app store Android

Les experts Kaspersky ont également découvert que plusieurs applications présentes sur le Google Play Store sont infectées par Keenadu. Il s'agit d'applications dédiées aux caméras de surveillance intelligentes, déjà téléchargées plus de 300 000 fois. À l'heure actuelle, ces applications ont déjà été retirées du Google Play Store. Une fois lancées, elles permettent aux attaquants d'ouvrir des onglets de navigation invisibles en arrière-plan, utilisés pour parcourir différents sites web à l'insu de l'utilisateur. Des recherches antérieures menées par d'autres experts ont également révélé que des applications semblables qui avaient été infectées étaient distribuées via des fichiers APK autonomes ou sur d'autres app store

« Comme le montrent nos dernières recherches, les malwares préinstallés constituent un problème de taille sur de nombreux appareils Android. Sans aucune action de la part de l’utilisateur, un appareil peut être infecté dès sa première utilisation. Il est crucial que les utilisateurs prennent conscience de ce risque et utilisent des solutions de sécurité capables de détecter ce type de malwares. Les constructeurs n'étaient probablement pas informés de la compromission de la chaîne d'approvisionnement ayant permis à Keenadu d'infiltrer les appareils, car le malware imitait des composants système légitimes. Il est donc primordial de contrôler chaque étape du processus de production afin de garantir que le firmware des appareils n'est pas infecté », commente Dmitry Kalinin, Security Researcher chez Kaspersky.

Dans ce contexte, les équipes de Kaspersky recommande :

D’utiliser une solution de sécurité fiable afin d'être averti rapidement de menaces similaires sur votre appareil.
Si vous utilisez un appareil dont le firmware est infecté, vérifiez la disponibilité de mises à jour système. Après avoir effectué la mise à jour, lancez une analyse complète de l'appareil à l'aide d'une solution de sécurité.
Si une application système est infectée, nous recommandons aux utilisateurs de cesser de l'utiliser, puis de la désactiver. Si le launcher est touché, nous conseillons de désactiver le launcher par défaut et d'utiliser un launcher tiers.

(1) Logiciel intégré dans le matériel

À propos de Kaspersky Threat Research

L’équipe Threat Research (TR) est une référence dans la protection contre les cybermenaces. Grâce à une expertise combinant analyse des menaces et développement technologique, les experts TR de Kaspersky garantissent des solutions de cybersécurité très complètes et efficaces, enrichies par de la threat intelligence et une sécurité robuste, au service des clients et de l’ensemble du secteur.

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée fondée en 1997. Avec à ce jour plus d'un milliard d'appareils protégés contre les cybermenaces émergentes et les attaques ciblées, l'expertise de Kaspersky en matière de sécurité et de renseignements sur les menaces est constamment convertie en solutions et services innovants pour protéger les particuliers, les entreprises, les infrastructures critiques et les autorités publiques dans le monde entier. Le large portefeuille de solutions de cybersécurité de Kaspersky inclut la protection avancée de la vie numérique pour les appareils personnels, des produits et services de sécurité spécialisés pour les entreprises, ainsi que des solutions de Cyber Immunité pour lutter contre les menaces numériques sophistiquées, en constante évolution. Kaspersky aide des millions de particuliers et plus de 200 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus, consultez le site https://www.kaspersky.fr

Kaspersky découvre Keenadu, un malware complexe préinstallé sur les nouveaux appareils Android

Kaspersky

À propos de Kaspersky

Kaspersky est une entreprise mondiale de cybersécurité et de confidentialité numérique fondée en 1997. Avec plus d’un milliard d’appareils protégés à ce jour contre les cybermenaces émergentes et les attaques ciblées, l’expertise de Kaspersky en matière de sécurité et de veille sur les menaces prend la forme de solutions et services innovants améliorées en continu et visant à protéger les particuliers, les entreprises, les infrastructures critiques et les gouvernements du monde entier. Le portefeuille de sécurité complet de l’entreprise comprend une protection de pointe de la vie numérique des appareils personnels, des produits et services de sécurité spécialisés pour les entreprises, ainsi que des solutions de cyberimmunité pour lutter contre les menaces numériques sophistiquées qui ne cessent d’évoluer. Nous aidons des millions de personnes et près de 200 000 entreprises clientes à protéger ce qui compte le plus pour elles. Plus d'informations sur : www.kaspersky.fr.

Kaspersky découvre Keenadu, un malware complexe préinstallé sur les nouveaux appareils Android

Kaspersky découvre Keenadu, un malware complexe préinstallé sur les nouveaux appareils Android

À propos de Kaspersky

Articles connexes Communiqués de presse

Kaspersky Industrial CyberSecurity reçoit la certification OT d'AV-Comparatives

En 2025, les emails malveillants ont connu une hausse de 15%, selon une étude de Kaspersky

Saint Valentin: Kaspersky tire la sonnette d’alarme face aux arnaques sur les cartes cadeaux

Sport et fuites de données : les risques cachés liés aux trackers d’activité connectés

Efficacité opérationnelle : Kaspersky lance l'OT Calculator pour aligner les investissements en cybersécurité des industriels sur leurs objectifs commerciaux

Compétitions sportives de l’hiver 2026: Kaspersky alerte sur les cybermenaces à surveiller lors de ce type d’événements

Des fraudeurs exploitent les fonctionnalités collaboratives d'Open AI: Kaspersky tire la sonnette d’alarme

Transparence et responsabilité : Kaspersky se classe en tête d’une évaluation indépendante des éditeurs de cybersécurité

Shopping piloté par l'IA et confidentialité : les perspectives de Kaspersky pour le secteur de la vente au détail et de l'e-commerce en 2026

88,5 % des campagnes de phishing visent à voler des identifiants de connexion, selon Kaspersky