資安業者卡巴斯基(Kaspersky)於今年2月發布研究報告,揭露一種名為Keenadu的Android後門程式。研究發現,部分變種可能在裝置韌體建置階段就被植入,甚至直接整合進Android系統元件,使裝置在出廠時就已帶有惡意程式。目前已觀測到逾1.3萬臺裝置受到影響,其中部分裝置被用於廣告詐欺與Android殭屍網路活動。
研究團隊發現,Keenadu的散布方式相當多元,包括遭竄改的OTA韌體更新、預載於系統應用程式,以及透過第三方APK散布。研究人員也曾在Google Play應用程式中發現相關樣本,其中一款智慧家庭攝影機應用程式的下載量超過30萬次。
遙測資料顯示,截至2026年2月,受感染裝置主要分布在俄羅斯、日本、德國、巴西與荷蘭等地。部分案例涉及低價Android平板或未通過官方認證的裝置,顯示問題可能出現在裝置供應鏈或韌體整合流程的安全控管。
對於攻擊者而言,由於Keenadu採用模組化架構與多階段載入機制,受感染裝置會依遠端控制伺服器的指令下載不同惡意模組,逐漸形成可由攻擊者操控的Android殭屍網路。研究團隊指出,這些裝置目前主要被用於廣告點擊詐欺,透過自動化流量操作為攻擊者帶來廣告收益。
Keenadu透過Android核心的Zygote處理程序,取得系統層級的控制能力
根據Kaspersky的分析,Keenadu的核心手法是竄改Android系統函式庫libandroid_runtime.so,使惡意程式能在應用程式啟動時自動載入。研究人員表示,Keenadu會將自身注入Android核心的Zygote處理程序。此時由於Android裝置上的所有應用程式都是由Zygote衍生啟動,惡意程式可影響整體應用程式的執行環境,並在系統層級建立長期控制能力。
.png)
圖片來源/卡巴斯基
透過這種機制,攻擊者可將惡意模組注入不同應用程式,進而存取裝置中的訊息內容、媒體檔案、帳號憑證與位置資訊。Keenadu同時具備下載並安裝其他APK應用程式的能力,也能監控裝置上的應用程式活動,例如瀏覽器搜尋紀錄或應用程式安裝事件。
與Triada等Android惡意程式家族出現技術關聯
在分析Keenadu的程式碼與通訊機制時,卡巴斯基發現其部分技術特徵與Triada、BADBOX與Vo1d等Android惡意程式家族相似,顯示這些惡意行動可能共用開發框架或後端控制基礎架構。
過去研究曾揭露,Triada惡意程式家族曾透過裝置供應鏈散布,因此,能在裝置出廠前就植入系統韌體。研究人員也觀察到,若裝置語言或時區設定為中國,Keenadu可能會停止運作。這類條件判斷通常被視為攻擊者刻意避開特定地區的一種線索。
Google已下架相關惡意程式並透過Play Protect提供防護
Google向資安媒體BleepingComputer證實,相關惡意應用程式已從Google Play商店下架。Google發言人表示,Android裝置上的Google Play Protect機制已能自動防護已知版本的Keenadu惡意程式。
Play Protect預設啟用於具備Google Play服務的Android裝置,一旦偵測到具備Keenadu相關行為的應用程式,就會警告使用者並停用該應用程式,即使該應用程式並非從Google Play商店下載。官方也建議使用者確認裝置已通過Play Protect認證,以確保裝置能持續獲得相關安全防護。
熱門新聞
2026-03-06
2026-03-02
2026-03-02
2026-03-04
2026-03-05
2026-03-02
2026-03-02