- Kaspersky popsal malware Keenadu přímo ve firmwaru některých tabletů
- Škodlivý kód v systému nejde odstranit stejně jako běžnou aplikaci
- Když je malware součástí systému, tovární reset na něj většinou nestačí
- Riziko se týká hlavně levných tabletů a TV boxů z nejasné distribuce
Malware v Androidu si většina lidí představí jako podezřelou aplikaci staženou mimo Google Play. Někdo klikne na falešný odkaz, povolí oprávnění a telefon začne zobrazovat reklamy nebo posílat data tam, kam nemá. Aplikaci smažete, v horším případě provedete tovární reset a začnete znovu.
Keenadu je název malwaru, u kterého uživatel nemusí sám instalovat žádnou podezřelou aplikaci. Škodlivý kód může být součástí systému už ve chvíli, kdy přístroj poprvé vybalíte z krabice, případně se do něj dostane přes aktualizaci. U levné elektroniky proto nestačí řešit jen displej, paměť a cenu. Důležité je i to, kdo sestavil software a kdo za něj po prodeji ručí.
Malware v systému neodinstalujete jako aplikaci
Slovo firmware se u Androidu používá trochu volně. Nemusí jít o mikrokód hluboko v čipu. V praxi tím často myslíme systémové části, ze kterých zařízení startuje: Android, knihovny, ovladače, předinstalované aplikace i servisní nástroje výrobce.
Běžná aplikace běží v Androidu v sandboxu. Systém jí má vymezit prostor, oprávnění a data, ke kterým smí. Když se chová podezřele, můžete ji odinstalovat nebo zařízení vrátit do továrního nastavení. Škodlivá komponenta ve firmwaru se ale spouští v části systému, kterou uživatel běžně nemůže jen tak odstranit.
U malwaru ve firmwaru běžná obrana končí. Google může zpřísňovat pravidla pro instalaci aplikací mimo obchod, Play Protect může hledat známé škodlivé aplikace a výrobci mohou vydávat opravy. Pokud je ale napadený samotný obraz systému, uživatel doma nemá jednoduchý způsob, jak poznat, jaký software v zařízení opravdu běží.
Keenadu se napojil na start aplikací
Bezpečnostní výzkumníci z Kaspersky na začátku roku 2026 popsali malware Keenadu jako backdoor nalezený ve firmwaru Android tabletů několika značek. Konkrétně jmenují Alldocube iPlay 50 mini Pro (T811M), u kterého prozkoumali firmware z 18. srpna 2023. Další značky v analýze neuvádějí, takže z toho nejde sestavit seznam modelů, kterým se vyhnout.
Škodlivý kód se dostal do systémové knihovny libandroid_runtime.so a napojil se na Zygote, tedy proces, ze kterého Android spouští aplikace. Pokud se malware dostane až sem, může se načítat do prostoru aplikací při jejich spuštění. Kaspersky proto popisuje možnost ovládat zařízení na dálku, přidělovat oprávnění a stahovat další moduly.
V zachycených modulech Kaspersky našel přesměrovávání vyhledávání, vydělávání na instalacích aplikací i skryté interakce s reklamními prvky. Na první pohled jde hlavně o reklamní podvod. Podstatné je ale místo, odkud kód běží: systémová část, která se spouští s aplikacemi.
Tovární reset obvykle nepřepíše systém
Název tovární reset svádí k představě, že se zařízení vrátí do čistého stavu. U podobných útoků to ale nemusí platit. V běžném případě smaže uživatelská data: aplikace, účty, nastavení, fotky a další obsah v části zařízení určené pro uživatele. Neznamená to, že zařízení stáhne čistý systém od nuly a přepíše každou systémovou součást.
Pokud je škodlivý kód uložený v systémovém obrazu, reset může zařízení jen vrátit do stejného nakaženého stavu, ve kterém jste ho koupili. Podobnou slabinu u kampaně BadBox 2.0 popisuje i irské Národní centrum kybernetické bezpečnosti. U levných zařízení s Androidem může malware v systémovém obrazu nebo podpis privilegovanými certifikáty způsobit, že tovární reset, a někdy ani běžné přehrání firmwaru, nákazu neodstraní.
Kaspersky u Keenadu doporučuje hledat čistou aktualizaci firmwaru od výrobce. Pokud existuje, má smysl ji nainstalovat a potom zařízení zkontrolovat bezpečnostním nástrojem, třeba aplikací Malwarebytes Mobile Security z Google Play. Pokud se k čisté verzi firmwaru nedostanete, ruční nahrání systému mimo běžnou aktualizaci je cesta jen pro lidi, kteří vědí, co dělají.
Levná krabička k televizi může být větší riziko než starý telefon
Nízká cena sama o sobě nákazu nedokazuje. Keenadu ale ukazuje, kde se šetření může prodražit. U zavedeného výrobce platíte i za kontrolu dodavatelského řetězce, aktualizace a podporu. U anonymního tabletu nebo TV boxu často nevíte, kdo firmware postavil a kdo bude vydávat opravy.
Tablet pro dítě, levný box k televizi nebo panel pro chytrou domácnost navíc bývá připojený ke stejné síti jako pracovní notebook a telefon s bankovní aplikací. Napadený přístroj nemusí krást fotky ani hesla. I bez toho může z vašeho připojení odesílat provoz, stahovat úlohy nebo vydělávat na reklamních podvodech.
Varovné znaky nejsou složité: neznámá značka, instalace aplikací z neoficiálního obchodu, vypínání Play Protectu, slib placeného obsahu zdarma nebo divné chování hned po prvním zapnutí. Jedna z těchto věcí infekci nedokazuje. Když se jich sejde víc, je lepší zařízení odpojit a dál ho nezkoušet.
Co zkontrolovat, když máte podezřelé zařízení doma
U Androidu má smysl rozlišovat mezi certifikovaným modelem s Google službami a necertifikovaným přístrojem bez plné podpory Googlu. Certifikace není záruka bezpečnosti, ale její absence je u levného kusu varování.
Stav certifikace najdete v aplikaci Google Play přes profilovou ikonu, Nastavení, Informace a položku Certifikace Play Protect. Vedle toho zkontrolujte bezpečnostní záplaty, dostupnost oficiálního firmwaru a web výrobce. Podezřelé zařízení nepoužívejte pro bankovnictví, správce hesel, pracovní účty ani dvoufaktorové ověřování.
Nízká cena může znamenat, že opravy nepřijdou
U levného zařízení se vyplatí před nákupem zjistit i nestandardní věci: odkud bere software, jestli má výrobce vlastní web, jak vydává aktualizace a zda vůbec existuje oficiální firmware. Když se nedá dohledat ani tohle, je nebezpečné takovému zařízení svěřovat domácí síť a vlastní účty.
Reklama přes celou obrazovku je nepříjemná, ale aspoň ji vidíte. Horší je tablet nebo TV box, který se od prvního zapnutí tváří úplně normálně, jen ve skutečnosti nikdy nebyl čistý. V takové chvíli reset smaže hlavně vaše data, ne nutně samotný problém.
Ondřej Dolejš
Další dnešní články
