ロシア・ドイツ・日本のAndroidタブレットにKeenaduバックドアが見つかる

yab

2026.02.19

ロシア・ドイツ・日本のAndroidタブレットにKeenaduバックドアが見つかる

The Record – February 19th, 2026

カスペルスキーの研究者によって、Androidタブレットのファームウェアレベルに仕込まれたバックドアが発見された。バックドアは「Keenadu」と呼ばれ、デバイスのコアソフトウェアに直接組み込まれているため、すべてのアプリケーションが読み込むようになっている。したがって、攻撃者は被害者のデバイスを自由に制御することが可能であるとみられる。

マルウェアは侵害されたサプライチェーンを通じ、ファームウェア構築段階で標的のシステムに挿入されたと考えられる。つまり、デバイスは顧客に届く前に感染していた可能性があり、ベンダーは自社のデバイスが感染していることに気づいていなかった可能性があるとカスペルスキーは述べた。

バックドアの亜種は複数存在し、最も強力なバージョンはデバイスのファームウェアに直接埋め込まれていたとのこと。別の亜種はロック解除用の顔認識アプリや、Google Playなどの公式ストアやサードパーティのリポジトリを通じて配信されるアプリに隠されていた。

同社によると、1万3,700台以上のデバイスにKeenaduまたはそのモジュールの存在が確認され、検出件数が多かったのはロシア・日本・ドイツ・ブラジル・オランダだったという。一方、バックドアは特定の地域を回避するように設計されており、デバイスの言語が中国諸方言に設定され、デバイスが中国のタイムゾーンにある場合に機能を停止する。またPlayストアまたはGoogle Play開発者サービスがインストールされていないデバイスでも停止する模様。

Keenaduバックドアは主に広告詐欺に使用され、モジュールはブラウザの検索エンジンを乗っ取り、新しいアプリケーションのインストールを監視し、広告コンポーネントとやり取りして不正な収益を得る機能を持っているとのこと。Amazonのカートに勝手に商品が追加されていたという報告も上がっている。

研究者によって、中国のAlldocube社を含む複数のメーカーのタブレットのファームウェアにKeenaduバックドアが組み込まれていることが確認された。2024年にAlldocubeは製品の1つにマルウェアの脆弱性があると公表したものの、その後のファームウェアアップデートで解決されることはなかった。カスペルスキーは他のメーカー名は明らかにしなかったものの、ベンダーに問題を通知済みであると述べた。攻撃を行った脅威アクターを特定していないものの、2025年に発生したTriadaバックドアの感染との類似点が指摘されている。

Keenaduはファームウェアレベルに組み込まれているため、信頼できるソースから入手したクリーンなファームウェアバージョンをインストールすることが推奨される。デバイスを替えることも緩和策の1つとなっている。