Keenadu Backdoor

Keenaduとして知られる高度なAndroidバックドアが、デバイスのファームウェアの奥深くに埋め込まれていることが確認されました。このバックドアは、密かにデータ収集を行い、感染したシステムをリモート制御することを可能にします。セキュリティ研究者は、Alldocubeを含む複数のベンダーに関連するファームウェアにこの脅威を発見しました。また、この侵害はファームウェアの構築段階で発生したことを示す証拠も確認されています。Keenaduは、少なくとも2023年8月18日からAlldocube iPlay 50 mini Proのファームウェアに存在しています。

確認されたすべてのケースにおいて、悪意のあるコードは有効なデジタル署名を持つタブレットのファームウェアイメージ内に存在しており、サプライチェーンへの侵入の可能性が高まっています。感染したファームウェアパッケージの中には、無線（OTA）アップデートによって配布されたものもありました。インストールされると、バックドアは起動時にすべてのアプリケーションのメモリ空間に自身を注入し、マルチステージローダーとして動作することで、攻撃者にデバイスを無制限にリモート制御することを可能にします。

テレメトリによると、世界中で13,715人のユーザーがKeenaduまたはその関連モジュールに遭遇しています。感染が最も集中しているのは、ロシア、日本、ドイツ、ブラジル、オランダです。

ディープシステム操作：Androidコアプロセスの悪用

Keenaduは2025年12月下旬に公開され、Androidの起動プロセス中に読み込まれる重要な共有ライブラリであるlibandroid_runtime.soに埋め込まれたバックドアであると説明されています。マルウェアがアクティブになると、Zygoteプロセスに自身を注入します。これは、以前AndroidマルウェアTriadaで確認された動作です。

この悪意あるルーチンは、libandroid_runtime.soに挿入された関数によって起動されます。まず、GoogleサービスまたはSprintやT-Mobileなどのモバイルキャリアに関連付けられたシステムアプリケーション内で実行されているかどうかを確認し、そうである場合は実行を停止します。また、システムディレクトリ内で特定のファイル名が検出されると、組み込みのキルスイッチによってマルウェアが強制終了されます。

次に、バックドアは、システムのコア機能を制御しており、Zygoteによって起動時に起動される特権プロセスであるsystem_server内で動作しているかどうかを確認します。環境に応じて、マルウェアは以下の2つのコンポーネントのいずれかを初期化します。

• コアとなるコマンドアンドコントロール（C2）ロジックと実行エンジンを含むAKServer
• AKClientは起動された各アプリケーションに挿入され、AKServerへの通信ブリッジとして機能します。

このアーキテクチャにより、攻撃者は悪意のあるペイロードを特定のアプリケーションに合わせてカスタマイズできます。サーバーコンポーネントは、アプリの権限を付与または取り消したり、位置情報データを取得したり、デバイス情報を盗み出したりすることができます。追加の安全対策により、デバイスの言語が中国のタイムゾーン内で中国語に設定されている場合、またはGoogle PlayストアまたはGoogle Play開発者サービスが利用できない場合、マルウェアは終了します。

Keenaduは動作条件を満たすと、C2アドレスを復号し、暗号化されたデバイスメタデータを送信します。サーバーは、利用可能なペイロードの詳細を示す暗号化されたJSON構成で応答します。検出を回避し、分析を複雑にするため、バックドアはデバイスの最初のチェックインから約2ヶ月半、ペイロードの配信を遅らせます。攻撃者はコンテンツ配信インフラとしてAlibaba Cloudを利用しています。

悪意のあるモジュール：収益化、ハイジャック、広告詐欺

Keenaduは、様々な特殊コンポーネントを展開できるモジュール型マルウェアプラットフォームとして機能します。特定されたモジュールには以下が含まれます。

• Keenadu Loader は、Amazon、Shein、Temu などの人気の電子商取引プラットフォームをターゲットにしており、不正なカート操作を可能にする可能性があります。
• Clicker Loader は、YouTube、Facebook、Google Digital Wellbeing、Android システム ランチャーなどのアプリケーションに挿入され、広告要素と不正にやり取りします。
• Google Chrome モジュールは、Google Chrome をターゲットにして検索クエリを乗っ取り、別の検索エンジンにリダイレクトしますが、オートコンプリートの選択によって乗っ取りの試みが阻止される場合もあります。
• Nova Clickerは、システムの壁紙ピッカーに組み込まれ、機械学習とWebRTCを活用して広告コンテンツに反応します。このコンポーネントは以前、Doctor Webによって「Phantom」というコードネームで解析されていました。
• システム ランチャーに埋め込まれた収益化モジュールをインストールして、アプリケーションのインストールを誤って帰属させることで不正な広告収入を生み出します。
• Google Play モジュールは、Google Ads の広告 ID を取得し、モジュール間の追跡と被害者の識別のためにキー「S_GA_ID3」に保存します。

現在の運用の焦点は広告詐欺に集中していますが、フレームワークの柔軟性により、将来的には認証情報の盗難や悪意のある操作の拡大につながる大きな可能性が生まれます。

流通チャネルとエコシステムの連携拡大

ファームウェアレベルの埋め込み以外にも、新たな配布経路が確認されています。Keenaduローダーは、顔認識サービスやランチャーなどのコアシステムアプリケーションに埋め込まれていました。同様の手口は、以前、OTAアップデートメカニズムを標的としたDwphonでも確認されていました。

もう一つの観察された手法は、BADBOXに類似した別のプリインストールされたバックドアによって既に侵害されているシステム内での動作です。TriadaとBADBOXの間にはインフラストラクチャの重複も確認されており、ボットネットの連携を示唆しています。2025年3月には、非正規のAndroid TVデバイスを標的とするBADBOXとVo1dの間にさらなる接続が明らかになりました。

Keenadu は、Hangzhou Denghong Technology Co., Ltd. が Google Play で公開したトロイの木馬化されたスマートカメラ アプリケーションを通じても配布されています。影響を受けるアプリケーションには次のものが含まれます。

• Eoolii (com.taismart.global) – ダウンロード数10万回以上
• Ziicam (com.ziicam.aws) – ダウンロード数10万回以上
• Eyeplus – あなたの目の中のあなたの家 (com.closeli.eyeplus) – 10万回以上ダウンロード

これらのアプリケーションはその後Google Playから削除されました。同等のバージョンがApple App Storeにも公開されましたが、iOS版には悪意のあるコードは含まれていなかったため、KeenaduはAndroidタブレットを標的に特別に設計されているという結論が強まりました。

セキュリティへの影響：Androidのコア信頼モデルへの脅威

Keenaduはlibandroid_runtime.soに統合されているため、あらゆるアプリケーションのコンテキスト内で動作し、深刻な脅威となります。これにより、Androidのサンドボックスモデルが実質的に弱体化し、あらゆるデバイスデータへの秘密のアクセスが可能になります。

標準的な権限制御を回避する能力により、このマルウェアはシステムレベルで無制限の権限を持つ本格的なバックドアへと変貌を遂げます。その高度な実装は、Androidアーキテクチャ、アプリケーションライフサイクル管理、そしてコアセキュリティメカニズムに関する高度な専門知識を実証しています。

Keenaduは、侵害したデバイスに対して持続的かつ適応的な制御を可能にする、大規模かつ非常に複雑なマルウェアプラットフォームとして際立っています。現在は主に広告詐欺に利用されていますが、そのアーキテクチャの奥深さは、認証情報の窃取やより広範なサイバー犯罪活動へとエスカレートするリスクを示唆しています。