Kasperskyは2026年2月17日、複数ブランドのAndroidタブレットのファームウェアにプリインストールされた新たなバックドア「Keenadu」を報告した。
Keenaduはファームウェアのビルド段階でAndroidのコアライブラリに埋め込まれ、Zygoteプロセスに注入されることで、デバイス上のすべてのアプリ内で動作する。Alldocube製デバイスを含む複数メーカーのタブレットから感染が確認された。
モジュラー型の多段階ローダーとして機能し、Google Chrome、YouTube、Facebook、Amazon、Temuなどを標的とするプラグインが確認されている。主な活動は検索エンジンのハイジャックや広告詐欺だが、TelegramやInstagramの認証情報窃取機能も備える。Triada、BADBOX、Vo1dボットネットとのコードやインフラ上の類似点が確認されている。
世界で1万3,000人以上のユーザーが感染しており、検出数上位はロシア、日本、ドイツ、ブラジル、オランダである。読み取り専用パーティションに存在するため通常の手段では除去が困難である。
From: 
New Keenadu Android backdoor found pre-installed in tablet firmware
【編集部解説】
今回報告されたKeenaduは、ユーザーが購入した時点ですでにデバイスに潜んでいるという点で、従来のマルウェアとは根本的に性質が異なります。一般的なAndroidマルウェアは不審なアプリのインストールという「ユーザー側の行動」が感染のきっかけとなりますが、Keenaduはファームウェアのビルド工程で埋め込まれるため、ユーザーには感染を防ぐ手段がほぼありません。
技術的に注目すべきは、Keenaduが libandroid_runtime.so というAndroidの根幹をなすライブラリを改変している点です。このライブラリはすべてのアプリが利用するため、Zygoteプロセスへの注入を通じてデバイス上のあらゆるアプリの内部で動作できます。Androidが設計思想として掲げるアプリサンドボックスによる隔離が、この手法により大きく損なわれることになります。
さらに深刻なのは、感染ファームウェアに正規のデジタル署名が施されていた事実です。これは単にOTAアップデートサーバーが侵害されたのではなく、ファームウェアの開発・ビルド工程そのものが汚染されていたことを強く示唆しています。Kasperskyの研究者ドミトリー・カリーニン氏は、マルウェアのソースコード内に開発者のマシン上のファイルパス(D:\work\git\zh\os\ak-client\)が残されていたことも報告しており、攻撃の組織的な性質がうかがえます。
Keenaduの言語・タイムゾーンチェックも重要な手がかりです。デバイスの言語が中国語方言に設定され、タイムゾーンが中国のものである場合、マルウェアは動作を停止します。これは攻撃者の出自に関する間接的な示唆と見られています。
この脅威を単独の事象として捉えるべきではありません。Kasperskyの調査により、Keenadu、BADBOX、Triada、Vo1dという4つの主要Androidボットネット間のつながりが明らかになりました。BADBOXについては、2025年にHUMAN Security、Google、Trend Microなどの共同作戦で一部が解体され、同年7月にはGoogleが中国の25の個人・団体を相手取り連邦裁判所に提訴しています。しかし、サプライチェーンの根本的な脆弱性が解消されない限り、攻撃者は何度でも復活するとの見方が支配的です。
Googleは今回の報告を受け、Google Play Protectが既知のKeenadu関連アプリを自動的にブロックする対応を取ったと発表しています。ただし、この保護はGoogle Play Services搭載のPlay Protect認定デバイスに限られます。低価格帯のデバイスなど端末構成によってはPlay Protectの恩恵を受けにくい場合があり、保護の範囲は端末の認定状況や構成に依存します。
日本が感染検出数の上位国に含まれている点は、国内のユーザーにとって見過ごせない事実です。低価格帯のAndroidタブレットはAmazonや各種ECサイトで手軽に購入できるため、コストパフォーマンスを重視する層が意図せず感染デバイスを手にするリスクがあります。
長期的な視点では、この事案はIoTデバイスのサプライチェーンセキュリティに対する規制の必要性を改めて浮き彫りにしています。EUではサイバーレジリエンス法が2024年12月10日に発効され、主要義務は2027年12月11日から適用の予定で、製造者にソフトウェアの安全性を義務付ける方向性が進んでいます。安価なデバイスほどサプライチェーンの透明性が低くなる傾向があり、デバイスの「安さ」の裏に何が潜んでいるのかを問い直す契機となる事案です。
【用語解説】
Zygoteプロセス
Androidにおいて、すべてのアプリを起動する親プロセス。Zygoteが侵害されると、そこから生成されるすべてのアプリプロセスにマルウェアが継承される。
アプリサンドボックス
Androidのセキュリティ設計の基本原則で、各アプリを隔離された環境で実行し、他のアプリやシステムデータへのアクセスを制限する仕組みである。
OTAアップデート(Over-The-Air)
無線通信を通じてデバイスのファームウェアやソフトウェアを更新する仕組みである。
libandroid_runtime.so
Androidのコアシステムライブラリの一つ。すべてのアプリが起動時に読み込むため、ここに悪意あるコードが挿入されるとデバイス全体が影響を受ける。
ボットネット
マルウェアに感染した多数のデバイスをネットワーク化し、攻撃者が遠隔から一括制御できるようにした仕組みである。広告詐欺やDDoS攻撃などに利用される。
Google Play Protect
Google Play Services搭載のAndroidデバイスに標準で備わるセキュリティ機能。アプリのスキャンやマルウェアの検出・無効化を自動的に行う。
AOSP(Android Open Source Project)
Androidのオープンソース版。Google Play Servicesを含まないため、Play Protectなどのセキュリティ保護が適用されない場合がある。
【参考リンク】
Kaspersky(カスペルスキー)公式サイト(外部)
ロシア拠点のグローバルサイバーセキュリティ企業。Keenaduの発見・分析を行った。
Securelist(セキュアリスト)(外部)
Kaspersky運営のセキュリティ研究ブログ。Keenaduに関する一次情報の発信元である。
Alldocube公式サイト(外部)
中国のタブレットメーカー。iPlay 50 mini Proなど低価格Androidタブレットを製造・販売している。
HUMAN Security(外部)
ボットネット・広告詐欺対策専門の米国サイバーセキュリティ企業。BADBOX 2.0の調査を主導した。
Google Play Protect(外部)
Google Play Services搭載デバイス向けのマルウェア対策機能。Keenadu関連アプリの自動ブロックに対応。
【参考記事】
Keenadu Firmware Backdoor Infects Android Tablets via Signed OTA Updates(外部)
The Hacker Newsによる詳報。研究者カリーニン氏の分析、Alldocube iPlay 50 mini Proでの2023年8月18日付ファームウェア感染、Google Play上のスマートカメラアプリへの感染拡大を報じている。
New Keenadu backdoor found in Android firmware, Google Play apps(外部)
BleepingComputerの報道。感染デバイス1万3000台以上、Chromeのシークレットモードでの検索クエリ監視機能、中国語設定時の動作停止について詳述。
Multiple brands of Android tablets shipped with built-in malware(外部)
Android Authorityの報道。GoogleがPlay Protectによる既知のKeenadu関連アプリの自動ブロック対応を声明したことを伝えている。
Kaspersky discovers Keenadu — a multifaceted Android malware(外部)
Kaspersky公式プレスリリース。1万3000台以上の感染確認、顔認証サービスやホーム画面アプリへのマルウェア埋め込み事例を公開。
Google Sues 25 Chinese Entities Over BADBOX 2.0 Botnet Affecting 10M Android Devices(外部)
2025年7月、GoogleがBADBOX 2.0関連の中国25個人・団体を提訴。1000万台以上のデバイス侵害を報じた。
Satori Threat Intelligence Disruption: BADBOX 2.0(外部)
HUMAN SecurityによるBADBOX 2.0分析。2025年1月時点で100万台以上感染、222の国・地域でトラフィック観測を報告。
【編集部後記】
手頃な価格のAndroidタブレットは、私たちの日常にすっかり溶け込んでいます。しかし、その「手軽さ」の裏側で何が起きているのか、今回の報告は改めて考えさせられる内容でした。
購入前にメーカーやファームウェアの信頼性を確認する習慣は、ご自身のデータを守る第一歩になるかもしれません。みなさんは、デバイスを選ぶとき、どんな点を判断基準にしていますか。
