.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
2026 年 2 月下旬、SophosLabs のアナリストは、Android デバイス上で Keenadu バックドアに関連する複数の悪意のある活動を特定しました。Kaspersky によると、Keenadu は libandroid_runtime.so (共有オブジェクトライブラリ) に埋め込まれたファームウェア感染型マルウェアであり、Zygote プロセスに自身を注入します。Zygote はすべての Android アプリの親プロセスであるため、攻撃者は感染したデバイスを事実上完全制御できるようになります。Keenadu は第 2 段階のマルウェアモジュールのダウンローダーとして機能し、複数のアプリケーション内のデータを標的にします。すべての Android アプリは実行時に libandroid_runtime.so に依存しているため、感染デバイスにインストールされた全アプリのアドレス空間に Keenadu がコピーされることになります。
Keenadu のコードは、感染デバイス上の静的ライブラリ (libVndxUtils.a) 内に存在し、正規の MediaTek コードを装った悪意のある依存関係を悪用します。Kaspersky は Keenadu の展開に関連するアーティファクトに基づき、これが侵害された OTA (Over-the-Air) サーバー経由で後からインストールされたのではなく、サプライチェーン攻撃によって「ビルド段階でファームウェアに組み込まれた」と結論付けました。
このマルウェアが標的にするアプリは、攻撃者がダウンロードするモジュールによって異なります。例として、Shein、Temu、Amazon などのオンラインストアが挙げられます。また、YouTube、Facebook、およびデジタルウェルビーイングアプリはすべて「クリッカー」モジュールの標的となります。このモジュールは、バックグラウンドで密かに Web サイトに接続してクリック報酬型広告 (PPC) の収益を生み出します。別のクリッカーモジュールはシステムランチャー (com.android.launcher3) に埋め込まれており、インストールごとに収益化するよう設計されているようです。また、Google Chrome ブラウザを標的とするモジュールも存在します。
ソフォスが検知した感染デバイスでは、一貫して 2 つのシステムレベルの APK ファイル (PriLauncher.apk、PriLauncher3QuickStep.apk) が関与していました。これらのファイルはシステムレベルのディレクトリ (例:/system/system_ext/priv-app/PriLauncher3QuickStep/PriLauncher3QuickStep.apk) に配置されていました。QuickStep は Android 標準のシステムランチャーであり、Android Open Source Project (AOSP) のコアコンポーネントです。これらの APK ファイルが悪意のあるものとして検知されたことは、特定のデバイス上で Keenadu を実行するために、これらのコンポーネントがトロイの木馬化されたことを示唆しています。なお、Android 向けの Sophos Intercept-X エージェントは、QuickStep の正規バージョンをブロックすることはありません。
3 月 4 日時点で、Sophos X-Intercept のテレメトリによると、約 50 機種の Android デバイス 500 台以上で感染が確認されています。感染したデバイスの大半は低価格モデルで、製造したメーカーはAllview、BLU、Dcode、DOOGEE、Gigaset、Gionee、Lava、Ulefone でした。Kaspersky の報告では Alldocube のデバイスへの影響も観察されていましたが、今回のリストには含まれていません。確認された感染は世界的に広がっており、デバイスの所在地は 40 カ国に及びます。
個人所有のデバイスから企業リソースへのアクセスを許可している組織は、特にリスクが高まっています。データはデバイスから抜き取られますが、攻撃者は感染デバイス上のアプリに保存されている認証情報を悪用して、企業ネットワークにアクセスする可能性があります。
SophosLabs のアナリストは、ナレッジベース記事 KBA-000047016 に記載された手順に従うことを推奨しています。Android ユーザーは、ベンダーから更新されたファームウェアがリリースされた場合、それをインストールする必要があります。ファームウェアが更新されるまでの間、組織は影響を受けるモデルが企業ネットワークにアクセスできないように制限することを検討すべきです。
この脅威に関連するソフォスの保護機能は以下の通りです。
- Andr/Bckdr-SBS
表 1 に示す脅威の指標は、この脅威に関連するアクティビティを検知するために使用できます。なお、IP アドレスは再割り当てされる可能性がありますので、注意してください。また、これらのドメインとIP アドレスには悪意のあるコンテンツが含まれている可能性があるため、ブラウザで開く際はリスクを十分に考慮してください。
| 指標 | タイプ | コンテキスト |
| 11eaf02f41b9c93e9b3189aa39059419 | MD5 ハッシュ | Keenadu に感染した BLU Bold K50 のファームウェア (PriLauncher3QuickStep.apk) |
| 7db58b72a3493a86e847c3685eca74c690d50b55 | SHA1 ハッシュ | Keenadu に感染した BLU Bold K50 のファームウェア (PriLauncher3QuickStep.apk) |
| 52db1f284a0dccbb750314cf765131a17a8284a2aeea04701a2b71f35fb9d9ee | SHA256 ハッシュ | Keenadu に感染した BLU Bold K50 のファームウェア (PriLauncher3QuickStep.apk) |
| 3c03168c98ad6111c3aa0a960f8b7eea | MD5 ハッシュ | Keenadu に感染した BLU G84 のファームウェア (PriLauncher3QuickStep.apk) |
| dcf2b51bfc43494bb27f5da26f3f706ca878d17e | SHA1 ハッシュ | Keenadu に感染した BLU G84 のファームウェア (PriLauncher3QuickStep.apk) |
| cdf1d41d732ba882184060933bec2c1f4b8eefc081c06471132a690f2205da31 | SHA256 ハッシュ | Keenadu に感染した BLU G84 のファームウェア (PriLauncher3QuickStep.apk) |
| cb0d514d86ddfaf4345d25cef064863b | MD5 ハッシュ | Keenadu に感染した Ulefone Armor 22 のファームウェア (PriLauncher.apk) |
| b73c94e56932f607108ec1efb74004c763a9e42b | SHA1 ハッシュ | Keenadu に感染した Ulefone Armor 22 のファームウェア (PriLauncher.apk) |
| ab6d744dccf4c6266474df4b8aa3be6ae5663dbee39c579a552a4cfa1c1d12fd | SHA256 ハッシュ | Keenadu に感染した Ulefone Armor 22 のファームウェア (PriLauncher.apk) |
| cd619b4e1e793f96eca877616a741bc1 | MD5 ハッシュ | Keenadu に感染した Ulefone Armor X13 のファームウェア (PriLauncher.apk) |
| c33b025bac789d3742278f784377fc36f83fd1ff | SHA1 ハッシュ | Keenadu に感染した Ulefone Armor X13 のファームウェア (PriLauncher.apk) |
| da1c7f53add0abaa8a49b773e5cea9c9171799f644ec24e366aaf7ce29962a11 | SHA256 ハッシュ | Keenadu に感染した Ulefone Armor X13 のファームウェア (PriLauncher.apk) |
| b80b39ed95d54c8c1bf12e35f92e23cc | MD5 ハッシュ | Keenadu に感染した Ulefone Armor 24 のファームウェア (PriLauncher3QuickStep.apk) |
| 7eb32a90d556bb9954707014843a67f7039ea7f1 | SHA1 ハッシュ | Keenadu に感染した Ulefone Armor 24 のファームウェア (PriLauncher3QuickStep.apk) |
| 34a0236b5c7b47577be4501e2c18908916ef9ec22032a6ea41b0ecceaf4e8d8a | SHA256 ハッシュ | Keenadu に感染した Ulefone Armor 24 のファームウェア (PriLauncher3QuickStep.apk) |
| playstations[.]click | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| uscelluliar[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| gstatic2[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| glogstatic[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| ytimg2[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| gmsstatic[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| gsonx[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| keepgo123[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| sliidee[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| newsroomlabss[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| fbgraph[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| dllpgd[.]click | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| gvvt1[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| proczone[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| goaimb[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| aifacecloud[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| gbugreport[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| tmgstatic [.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| fbsimg[.]com | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| launcher[.]szprize[.]cn | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| iboot[.]site | ドメイン名 | Keenadu バックドア用の C2 サーバー |
| 67[.]198[.]232[.]187 | IP アドレス | Keenadu バックドア用の C2 サーバー |
| 67[.]198[.]232[.]4 | IP アドレス | Keenadu バックドア用の C2 サーバー |
| 110[.]34[.]191[.]82 | IP アドレス | Keenadu バックドア用の C2 サーバー |
| 110[.]34[.]191[.]81 | IP アドレス | Keenadu バックドア用の C2 サーバー |