中華パッド 13,700台以上でバッグドア「Keenadu」見つかる、工場出荷時点で感染とも

中華パッドでバッグドア「Keenadu」見つかる

カスペルスキー研究者の報告によれば、マルウェア「Keenadu」はファームウェアのレベルでシステムに混入されているようだ。これはタブレット端末が出荷前に感染していた可能性を意味する。

そのような状況のため、メーカーは自社タブレットが感染していたことも把握していない可能性があると指摘している。

カスペルスキーの研究者が全メーカーの各モデルでウィルスチェックを行えるわけではない。Alldocube社（旧CUBE）のような老舗メーカーだけはチェックしてもらえたが、ノーブランドに近い中華パッドも大抵は同じサプライチェーンを通じて出荷している。

その関係を考慮すれば、名前の上がっていないメーカーの端末も感染している可能性が高い。恐ろしいのは、それをメーカー側も把握していないという状況が予想されることだろう。

1. メーカーが把握していない
2. →調査しない
3. →修正ファームウェアが配布されない
4. →感染した端末を使い続ける

感染したまま使い続けると、ドラちゃんの名言「危険が危ない」というレベルになる。

どのようなことになるのかを見ていきたい。

マルウェア「Keenadu」とは何か、感染状況は？

それではマルウェア「Keenadu」は、どのような目的で生まれたのだろうか。

まず「Keenadu」は端末のコアに近いソフトウェアに組み込まれていて、インストールしたすべてのアプリが「Keenadu」を読み込むようになっているようだ。

また「Keenadu」には複数の亜種が存在するとも報告されている。

それら亜種の感染ルートとしては、ロック解除を行う顔認識アプリやGoogle Playやサードパーティーのアプリストアにあるリポジトリを介して配信されるアプリに組み込まれていたことが報告されている。

同社は2026年2月時点で13700台以上のデバイスで感染が確認されたとしており、日本のほかにロシア、ドイツ、ブラジル、オランダで見つかったようだ。

興味深いのは「Keenadu」はデバイスの言語が中国圏に設定されていて、タイムゾーンが中国になっている場合は機能を停止するよう設計されているところ。またGoogle PlayストアあるいはGoogle Play開発者サービスをインストールしていないデバイスでも活動しないという。

そうなるとGoogle Playが使えず「不便なタブレット」として揶揄されてきたアマゾン広告端末であるFireタブレットやKindleリーダーが「実は安全」という評価に変わりそうだ。

「Keenadu」の活動、何をするのか？

デバイスのコアに常駐する「Keenadu」は広告詐欺をメインとするウィルス・バックドアとされている。例としてブラウザアプリの検索エンジンを乗っ取りを行ったり、アプリのインストールを監視して、アプリの広告コンポーネントを操作して不正な利益を得るといった機能を備える。

ほかにもAmazonのカートへ勝手に商品が追加されたという報告もあった模様。

上記は具体的な事例だ。

そもそもファームウェアに組み込まれた亜種ではない「Keenadu」に感染している端末は、攻撃者がすべてのデータへアクセス可能となっており、アプリの権限も無視できるため、端末を無制限に制御できることになる。

ただ端末を支配して「感染している」とユーザー（所有者）に通知するのは悪手だ。

攻撃者はそんなことをしない。

基本的に気付かせないステルス活動がメインになるだろう。

たとえば検索ワードや電話番号・カード情報をはじめとする個人情報の入力データを転送、名簿として販売したり、無料アプリの広告を差し替えて収益をあげたり、特定の企業・サービスを停止させる攻撃の踏み台として使い、身代金を要求するといった従来の方法にも使える。

◇◇◇

中国Alldocubeは日本時間2026年2月25日、マルウェア感染の指摘を受けて同社の全Android製品・全モデルを対象に調査を開始したと発表した。おおよそ1〜2週間で調査が終わる見込みとして順次結果を報告するとしている。

Source : X.com