Keenadu Backdoor

安全研究人员发现，名为 Keenadu 的复杂安卓后门程序已深藏于设备固件中，能够静默窃取数据并远程控制受感染的系统。他们在与多家厂商（包括 Alldocube）相关的固件中发现了这一威胁，证据表明该漏洞是在固件构建阶段被入侵的。Keenadu 至少从 2023 年 8 月 18 日起就已存在于 Alldocube iPlay 50 mini Pro 的固件中。

在所有已确认的案例中，恶意代码都存在于带有有效数字签名的平板电脑固件镜像中，这进一步证实了供应链遭到破坏的可能性。一些受感染的固件包是通过空中下载 (OTA) 更新分发的。一旦安装，该后门程序会在每次应用程序启动时将自身注入到其内存空间中，充当多阶段加载器，使攻击者能够不受限制地远程控制设备。

遥测数据显示，全球已有13715名用户接触过Keenadu或其相关模块。感染率最高的国家是俄罗斯、日本、德国、巴西和荷兰。

深度系统操控：利用安卓核心进程

Keenadu 于 2025 年 12 月下旬被公开披露，它被描述为植入 libandroid_runtime.so 的后门程序。libandroid_runtime.so 是一个关键的共享库，在 Android 启动过程中加载。一旦激活，该恶意软件会将自身注入到 Zygote 进程中，这种行为此前曾在 Android 恶意软件 Triada 中出现过。

该恶意程序通过插入到 libandroid_runtime.so 中的一个函数触发。它首先验证自身是否在与 Google 服务或移动运营商（例如 Sprint 和 T-Mobile）关联的系统应用程序中运行；如果是，则执行中止。内置的终止开关也会在系统目录中检测到特定文件名时终止恶意软件。

后门程序随后会检查自身是否在具有特权的 system_server 进程中运行。该进程控制着核心系统功能，由 Zygote 在启动时启动。根据环境的不同，恶意软件会初始化以下两个组件之一：

• AKServer 包含核心命令与控制 (C2) 逻辑和执行引擎。
• AKClient 会被注入到每个启动的应用程序中，并充当与 AKServer 之间的通信桥梁。

这种架构允许攻击者针对特定应用程序定制恶意载荷。服务器组件可以授予或撤销应用程序权限、检索地理位置数据并窃取设备信息。此外，如果设备语言设置为中文且位于中国时区，或者设备未安装 Google Play 商店或 Google Play 服务，则恶意软件会终止运行。

Keenadu 满足操作条件后，会解密其 C2 地址并传输加密的设备元数据。服务器会返回一个加密的 JSON 配置，其中详细说明了可用的有效载荷。为了逃避检测并增加分析难度，该后门程序会在设备首次签入后延迟约两个半月才发送有效载荷。攻击者依赖阿里云作为其内容分发基础设施。

恶意模块：货币化、劫持和广告欺诈

Keenadu 是一个模块化的恶意软件平台，能够部署各种专用组件。已识别的模块包括以下几种：

• Keenadu Loader 针对亚马逊、Shein 和 Temu 等热门电子商务平台，可能导致未经授权的购物车篡改。
• Clicker Loader 被注入到 YouTube、Facebook、Google Digital Wellbeing 和 Android 系统启动器等应用程序中，以欺诈手段与广告元素进行交互。
• Google Chrome 模块旨在劫持 Google Chrome 浏览器，并将其重定向到其他搜索引擎，但自动完成选项有时可能会干扰劫持尝试。
• Nova Clicker 嵌入在系统壁纸选择器中，利用机器学习和 WebRTC 技术与广告内容互动。该组件此前曾被 Doctor Web 以代号 Phantom 进行过分析。
• 安装嵌入系统启动器的变现模块，通过错误归因应用程序安装来生成欺诈性广告收入。
• Google Play 模块，用于检索 Google Ads 广告 ID 并将其存储在键为“S_GA_ID3”的字段下，以便进行跨模块跟踪和识别受害者。

虽然目前的运营重点是广告欺诈，但该框架的灵活性为未来凭证窃取和扩大恶意操作提供了巨大的可能性。

拓展分销渠道和生态系统联系

除了固件级植入之外，还观察到了其他传播途径。Keenadu 加载器已被嵌入到核心系统应用程序中，例如人脸识别服务和启动器。类似的策略此前也与 Dwphon 有关，Dwphon 的目标是 OTA 更新机制。

另一种观察到的方法是利用已被预装的类似 BADBOX 的后门程序入侵的系统进行攻击。此外，Triada 和 BADBOX 的基础设施也存在重叠，这表明它们可能存在僵尸网络合作。2025 年 3 月，BADBOX 与 Vo1d 之间出现了进一步的关联，后者专门针对非品牌 Android TV 设备。

Keenadu病毒还通过杭州登宏科技有限公司在Google Play上发布的植入木马的智能相机应用程序进行传播。受影响的应用程序包括：

• Eoolii (com.taismart.global) – 下载量超过 10 万次
• Ziicam (com.ziicam.aws) – 下载量超过 10 万次
• Eyeplus – 您的眼中之家 (com.closeli.eyeplus) – 下载量超过 10 万次

这些应用已被从 Google Play 下架。类似的应用程序也已发布到 Apple App Store；然而，iOS 版本并未包含恶意代码，这进一步证实了 Keenadu 是专门针对 Android 平板电脑而设计的。

安全隐患：对安卓核心信任模型的威胁

Keenadu 构成严重威胁，因为它集成在 libandroid_runtime.so 中，使其能够在所有应用程序的上下文中运行。这有效地破坏了 Android 的沙盒机制，并提供了对所有设备数据的隐蔽访问权限。

它能够绕过标准的权限控制，这使得该恶意软件变成了一个功能齐全的后门，拥有不受限制的系统级权限。其精妙的实现方式展现了开发者在安卓架构、应用生命周期管理和核心安全机制方面的深厚专业知识。

Keenadu 是一款规模庞大、结构高度复杂的恶意软件平台，能够对受感染的设备进行持久且灵活的控制。尽管目前主要用于广告欺诈，但其架构的复杂性表明，它极有可能升级为凭证窃取和更广泛的网络犯罪活动。