Keenadu Backdoor

安全研究人員發現，名為 Keenadu 的複雜安卓後門程式已深藏於裝置韌體中，能夠靜默竊取資料並遠端控制受感染的系統。他們在與多家廠商（包括 Alldocube）相關的韌體中發現了這項威脅，證據顯示漏洞是在韌體建置階段被入侵的。 Keenadu 至少從 2023 年 8 月 18 日起就已存在於 Alldocube iPlay 50 mini Pro 的韌體中。

在所有已確認的案例中，惡意程式碼都存在於具有有效數位簽章的平板電腦韌體鏡像中，這進一步證實了供應鏈遭到破壞的可能性。一些受感染的韌體套件是透過空中下載 (OTA) 更新分發的。一旦安裝，該後門程式會在每次應用程式啟動時將自身註入到其記憶體空間中，充當多階段載入器，使攻擊者能夠不受限制地遠端控制裝置。

遙測數據顯示，全球已有1,3715名用戶接觸過Keenadu或其相關模組。感染率最高的國家是俄羅斯、日本、德國、巴西和荷蘭。

深度系統操控：利用安卓核心進程

Keenadu 於 2025 年 12 月下旬被公開披露，它被描述為植入 libandroid_runtime.so 的後門程序。 libandroid_runtime.so 是一個關鍵的共用程式庫，在 Android 啟動過程中載入。一旦被激活，該惡意軟體會將自身註入 Zygote 進程中，這種行為先前曾在 Android 惡意軟體 Triada 中出現過。

該惡意程式透過插入到 libandroid_runtime.so 中的一個函數觸發。它首先驗證自身是否在與 Google 服務或行動電信業者（例如 Sprint 和 T-Mobile）關聯的系統應用程式中運行；如果是，則執行中止。內建的終止開關也會在系統目錄中偵測到特定檔案名稱時終止惡意軟體。

後門程式隨後會檢查自身是否在具有特權的 system_server 進程中執行。此進程控制核心系統功能，由 Zygote 在啟動時啟動。根據環境的不同，惡意軟體會初始化以下兩個元件之一：

• AKServer 包含核心指令與控制 (C2) 邏輯和執行引擎。
• AKClient 會被注入到每個啟動的應用程式中，並充當與 AKServer 之間的通訊橋樑。

這種架構允許攻擊者針對特定應用程式自訂惡意負載。伺服器元件可以授予或撤銷應用程式權限、檢索地理位置資料並竊取設備資訊。此外，如果裝置語言設定為中文且位於中國時區，或裝置未安裝 Google Play 商店或 Google Play 服務，則惡意軟體會終止運作。

Keenadu 滿足操作條件後，會解密其 C2 位址並傳輸加密的裝置元資料。伺服器會傳回一個加密的 JSON 配置，其中詳細說明了可用的有效載荷。為了逃避偵測並增加分析難度，該後門程式會在裝置首次簽入後延遲約兩個半月才發送有效載荷。攻擊者依賴阿里雲作為其內容分發基礎設施。

惡意模組：貨幣化、劫持和廣告詐欺

Keenadu 是一個模組化的惡意軟體平台，能夠部署各種專用元件。已識別的模組包括以下幾種：

• Keenadu Loader 針對亞馬遜、Shein 和 Temu 等熱門電子商務平台，可能導致未經授權的購物車被竄改。
• Clicker Loader 被注入到 YouTube、Facebook、Google Digital Wellbeing 和 Android 系統啟動器等應用程式中，以欺詐手段與廣告元素互動。
• Google Chrome 模組旨在劫持 Google Chrome 瀏覽器，並將其重定向到其他搜尋引擎，但自動完成選項有時可能會幹擾劫持嘗試。
• Nova Clicker 嵌入在系統桌布選擇器中，利用機器學習和 WebRTC 技術與廣告內容互動。該元件先前曾被 Doctor Web 以代號 Phantom 進行分析。
• 安裝嵌入系統啟動器的變現模組，透過錯誤歸因應用程式安裝來產生詐騙廣告收入。
• Google Play 模組，用於檢索 Google Ads 廣告 ID 並將其儲存在鍵為「S_GA_ID3」的欄位下，以便進行跨模組追蹤和識別受害者。

雖然目前的營運重點是廣告欺詐，但該框架的靈活性為未來憑證竊取和擴大惡意操作提供了巨大的可能性。

拓展通路和生態系統聯繫

除了韌體級植入之外，還觀察到了其他傳播途徑。 Keenadu 載入器已嵌入到核心系統應用程式中，例如人臉辨識服務和啟動器。類似的策略先前也與 Dwphon 有關，Dwphon 的目標是 OTA 更新機制。

另一種觀察到的方法是利用已預先安裝的類似 BADBOX 的後門程式入侵的系統進行攻擊。此外，Triada 和 BADBOX 的基礎設施也存在重疊，這表明它們可能存在殭屍網路合作。 2025 年 3 月，BADBOX 與 Vo1d 之間出現了進一步的關聯，後者專門針對非品牌 Android TV 裝置。

Keenadu病毒也透過杭州登宏科技有限公司在Google Play上發布的植入木馬的智慧相機應用程式進行傳播。受影響的應用程式包括：

• Eoolii (com.taismart.global) – 下載量超過 10 萬次
• Ziicam (com.ziicam.aws) – 下載量超過 10 萬次
• Eyeplus – 您的眼中之家 (com.closeli.eyeplus) – 下載量超過 10 萬次

這些應用程式已從 Google Play 下架。類似的應用程式也已發佈到 Apple App Store；然而，iOS 版本並未包含惡意程式碼，這進一步證實了 Keenadu 是專門針對 Android 平板電腦而設計的。

安全隱憂：對安卓核心信任模型的威脅

Keenadu 構成嚴重威脅，因為它整合在 libandroid_runtime.so 中，使其能夠在所有應用程式的上下文中運行。這有效地破壞了 Android 的沙盒機制，並提供了對所有裝置資料的隱藏存取權。

它能夠繞過標準的權限控制，這使得該惡意軟體變成了一個功能齊全的後門，擁有不受限制的系統級權限。其精妙的實現方式展現了開發者在安卓架構、應用生命週期管理和核心安全機制方面的深厚專業知識。

Keenadu 是一款規模龐大、結構高度複雜的惡意軟體平台，能夠對受感染的裝置進行持久且靈活的控制。儘管目前主要用於廣告欺詐，但其架構的複雜性表明，它極有可能升級為憑證竊取和更廣泛的網路犯罪活動。