Malware Keenadu Ditemukan Tertanam di Firmware Android dan Aplikasi Google Play

Peneliti keamanan siber mengungkap keberadaan malware Android baru bernama Keenadu yang tertanam langsung di firmware sejumlah perangkat dan juga ditemukan dalam aplikasi yang sempat tersedia di Google Play. Malware ini dinilai sangat berbahaya karena mampu mengambil alih perangkat secara menyeluruh.

Menurut laporan Kaspersky, Keenadu memiliki beberapa mekanisme distribusi, mulai dari firmware yang telah dikompromikan melalui pembaruan over-the-air (OTA), backdoor lain yang sudah ada sebelumnya, aplikasi sistem yang disusupi, aplikasi modifikasi dari sumber tidak resmi, hingga aplikasi yang sempat lolos ke Google Play.

Versi Firmware Paling Berbahaya

Kaspersky mengidentifikasi beberapa varian Keenadu, dengan versi yang tertanam di firmware sebagai yang paling kuat. Varian ini memungkinkan malware beroperasi dengan hak istimewa tinggi dan menginfeksi seluruh aplikasi yang terpasang di perangkat.

Per Februari 2026, sekitar 13.000 perangkat telah dikonfirmasi terinfeksi, dengan korban terbanyak berada di Rusia, Jepang, Jerman, Brasil, dan Belanda.

Peneliti membandingkan Keenadu dengan malware Triada yang sebelumnya ditemukan pada perangkat Android palsu berbiaya rendah melalui rantai pasok tidak resmi.

Menariknya, varian firmware Keenadu tidak aktif jika bahasa atau zona waktu perangkat terkait dengan Tiongkok. Malware juga menghentikan operasinya apabila Google Play Store dan Play Services tidak ditemukan di perangkat, sebuah indikator penting dalam analisis asal-usul dan targetnya.

Kendali Penuh atas Perangkat

Kaspersky menyebut Keenadu sebagai backdoor fungsional penuh yang memberikan kendali tidak terbatas kepada penyerang. Malware ini mampu:

• Menginfeksi seluruh aplikasi yang terpasang
• Menginstal aplikasi apa pun dari file APK
• Memberikan izin sistem secara otomatis tanpa persetujuan pengguna

Akibatnya, seluruh data pada perangkat berpotensi terekspos, termasuk media, pesan, kredensial perbankan, lokasi, hingga aktivitas pencarian di browser Chrome, bahkan dalam mode incognito.

Pada varian yang tertanam dalam aplikasi sistem, fungsi malware memang lebih terbatas, tetapi tetap memiliki hak istimewa cukup untuk memasang aplikasi tanpa notifikasi kepada pengguna. Salah satu temuan menunjukkan malware disematkan dalam aplikasi sistem pengenalan wajah yang digunakan untuk membuka kunci perangkat dan proses autentikasi lainnya.

Sempat Muncul di Google Play

Peneliti juga menemukan aplikasi terkait Keenadu di Google Play, khususnya aplikasi kamera smart home dengan total sekitar 300.000 unduhan sebelum akhirnya dihapus.

Aplikasi tersebut diketahui membuka tab browser tersembunyi di dalam aplikasi host dan mengakses situs web di latar belakang tanpa sepengetahuan pengguna. Pola aktivitas ini menyerupai temuan APK mencurigakan lainnya yang dilaporkan sebelumnya oleh firma keamanan lain.

Google kemudian mengonfirmasi bahwa aplikasi berbahaya tersebut telah dihapus dari Google Play. Selain itu, Google Play Protect secara otomatis melindungi pengguna dari varian Keenadu yang telah dikenal dan dapat menonaktifkan aplikasi yang menunjukkan perilaku terkait malware tersebut.

Tertanam di Library Sistem Android

Analisis teknis menunjukkan Keenadu memodifikasi komponen inti Android, yaitu library libandroid_runtime.so, sehingga dapat berjalan dalam konteks setiap aplikasi pada perangkat. Dengan tingkat integrasi sedalam ini, malware tidak dapat dihapus menggunakan alat standar sistem operasi Android.

Kaspersky merekomendasikan pengguna untuk mencari dan memasang firmware bersih yang resmi untuk perangkat mereka. Alternatif lain adalah menggunakan firmware pihak ketiga yang terpercaya, meski langkah ini memiliki risiko ketidakcocokan yang dapat menyebabkan perangkat tidak dapat digunakan.

Pilihan paling aman adalah menghentikan penggunaan perangkat yang terinfeksi dan menggantinya dengan produk dari vendor tepercaya serta distributor resmi.

Kasus Firmware Tablet Android

Keenadu juga ditemukan dalam firmware tablet Android dari beberapa produsen. Salah satu perangkat yang terdampak adalah tablet Alldocube iPlay 50 mini Pro (T811M) dengan firmware bertanggal 18 Agustus 2023.

Setelah laporan pengguna pada Maret 2024 menyebut server OTA Alldocube telah dikompromikan, perusahaan tersebut mengakui adanya “serangan virus melalui perangkat lunak OTA,” meski tidak merinci jenis ancamannya.

Temuan ini kembali menyoroti risiko keamanan dalam rantai pasok perangkat Android, terutama pada produk yang tidak berasal dari kanal distribusi resmi.