Close Menu
ドイツや日本のAndroid ユーザーを狙う新種のバックドア
Germany

ドイツや日本のAndroid ユーザーを狙う新種のバックドア|セキュリティニュースのセキュリティ対策Lab

ドイツや日本のAndroid ユーザーを狙う新種のバックドア

2026年2月17日、カスペルスキーがAndroid端末(主にタブレット)向けの新しいバックドアKeenaduを公表しました。

Keenaduは端末のファームウェアに組み込まれるタイプで、端末内のほぼ全アプリに介入できることが特徴です。さらに調査の過程で、Triada、BADBOX、Vo1dといった大規模Androidボットネット同士のつながりも確認されたとしています。

概要

Keenaduの本質は、Androidの中核プロセスであるZygote(全アプリの親プロセス)に食い込み、アプリ起動のたびにバックドアのコピーが各アプリ空間へ読み込まれる点にあります。これにより、アプリのサンドボックス(アプリ間分離)を実質的に無力化し、端末上のアプリデータや権限制御へ広範に干渉できる状態を作ります。

カスペルスキーは、Keenaduが以下の複数経路で配布され得ることを整理しています。

ファームウェアへ直接組み込み(OTA更新で配布されるケースも確認)

システムアプリ(例:顔認証サービス、ランチャー等)へ内蔵

一部のモジュールが単体アプリとして流通(サードパーティ配布や公式ストア経由も含む)

また、観測上の被害は世界で13,715ユーザー、国別ではロシア、日本、ドイツ、ブラジル、オランダが多いと報告されています。

技術的ポイント
libandroid_runtime.so改ざんで、全アプリに常駐する

調査の出発点は、/system/lib[64]/libandroid_runtime.soの不審な改変でした。

このライブラリはAndroid標準の構成要素ですが、Keenaduではログ出力に関わるandroid.util.Logのprintln_nativeに不審な関数呼び出しが追加され、暗号化されたペイロードを復号してDexClassLoaderで読み込む流れが確認されています。

改変場所が「OS中核の共有ライブラリ」であるため、端末で起動するほぼ全アプリのプロセスに同じ仕掛けが入り込みますので一般的な「悪性アプリのインストール」と違い、端末側の土台が汚染されるため、利用者や運用側が気づきにくく、対処も難しくなります。

権限を付与・剥奪できる偽のシステムサービス

Keenaduはsystem_server内でAKServerとして動作し、各アプリ側に注入されたAKClientがbinder経由でこれに接続します。結果として、攻撃者は端末上の任意アプリに対して権限の付与・剥奪、位置情報取得、端末情報の収集・送信などを可能にするインターフェースを持ちます。

その為MDMでアプリ権限を管理していても、OS内部から権限が書き換えられる設計だと検知・防御できません。

目的

カスペルスキーの分析では、現時点での主目的は広告不正(アドフラウド)と位置付けられています。具体例として、以下が挙げられています。

ブラウザ(Chrome)での検索語句の送信、検索エンジンのすり替え

広告要素へのステルスなクリック・操作(WebRTCや機械学習を使うクリック系モジュールも言及)

インストール収益化(インストールセッションを監視し、トラッキングURLへアクセスして広告成果を偽装)

一方で、バックドア基盤としては端末遠隔操作に近い能力を持つため、将来的に認証情報窃取などへ転用される可能性も示唆されています(Triada級の脅威になり得る、という評価)。

サプライチェーン攻撃の可能性が高い

Keenaduが特に警戒すべきなのは、感染の入り口が「端末を作る工程」である可能性が濃厚な点です。

カスペルスキーは、特定ベンダー(例:Alldocube)の公開ファームウェアを解析し、特定時期以降のビルドにKeenaduが混入していること、また改ざんがOTAサーバ侵害だけでは説明しにくい(署名付きイメージである)点などから、ビルド工程で悪性ライブラリがリンクされたサプライチェーン攻撃の可能性を挙げています。

ボットネット連携

本レポートのもう一つの要点は、複数の巨大Androidボットネットが互いに関係を持っている兆候です。

カスペルスキーは、KeenaduとBADBOXのコード類似や、BADBOXがKeenaduローダーを配布していた痕跡などを根拠に、少なくともKeenaduとBADBOXの接点を示しています。また、TriadaやVo1dとの関連についても、過去調査の延長線で関連性を指摘しています。

参照

Divide and conquer: how the new Keenadu backdoor exposed links between major Android botnets

この記事をシェアする

メールマガジン

最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。

投稿者:三村

セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。

セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。