多个品牌的 Android 平板预装了恶意软件(更新:Google 声明)
Source: Android Authority
TL;DR
- 研究人员发现一种固件层级的 Android 后门,名为 Keenadu,在某些平板电脑在销售前已预装。
- 该恶意软件注入 Android 的 Zygote 进程,使攻击者能够广泛控制平板上的应用和数据。
- Google 表示,Android 用户会通过 Google Play Protect 自动获得对已知版本该恶意软件的保护。
更新 – 2026年2月17日 (02:35 PM ET)
在原文发布后,Google 发言人提供了以下声明:
“Android 用户会自动受到 Google Play Protect 的保护,防止已知的此类恶意软件。Google Play Protect 默认在带有 Google Play 服务的 Android 设备上开启。即使这些应用来自 Play 之外的来源,Google Play Protect 也能警告用户并禁用表现出 Keenadu 相关行为的应用。作为最佳安全实践,我们建议用户确保其设备已通过 Play Protect 认证。”
Kaspersky 的研究指出,Keenadu 恶意软件并非仅在固件构建中发现,Google 进一步保证,报告中在 Google Play 上识别的全部三款恶意应用已被移除。要验证您的设备是否已通过 Play Protect 认证,您可以了解方法请点击此处。
原始文章 – 2026年2月17日 (美国东部时间下午1:18)
虽然令人担忧,但大多数 Android 恶意软件 都是通过不可靠的应用或可疑下载传播的,这让用户在是否感染上有一种自主感。然而,安全研究人员发现了更令人不安的情况:某些 Android 平板的固件在交付给用户之前就已经内置了后门。
背景
一篇由 Help Net Security 报道的报告描述了卡巴斯基研究人员发现了一种名为 Keenadu 的新 Android 后门,它被嵌入了多家厂商平板的固件中。该恶意软件并不是在购买后感染设备,而是似乎在固件构建过程中就已经被写入软件。
技术细节
- 注入点: 后门注入 Android 的 Zygote 进程,这是一个核心系统进程,负责启动设备上的每个应用。
- 功能: 一旦激活,Keenadu 可以下载额外模块,这些模块能够:
- 重定向浏览器搜索
- 跟踪应用安装以获取利润
- 与广告元素交互
在此层面运行使得恶意软件的影响范围远大于普通的恶意应用。
受影响的设备
已确认的一个例子是 Alldocube iPlay 50 mini Pro 平板的固件镜像。研究人员发现他们检查的每个版本都包含该后门,即使是在厂商已承认恶意软件报告后发布的版本也是如此。固件文件携带有效的数字签名,这表明问题并非后期篡改导致,而是 供应链妥协,在软件开发或构建阶段被引入。
影响与统计
- 卡巴斯基报告称全球已有 13,715 名用户遭遇 Keenadu 或其模块。
- 感染数量最高的地区包括 俄罗斯、日本、德国、巴西和荷兰。
- 该威胁与其他已知的 Android 僵尸网络家族有关,包括 Triada、BadBox 和 Vo1d。
缓解措施
此问题似乎并未影响主要旗舰 Android 品牌(参见顶级平板列表)。已确认的案例集中在较不为人知的平板制造商,许多厂商尚未公开其名称。如果您拥有预算型 Android 平板——尤其是来自较小或不熟悉品牌的设备,请考虑以下步骤:
- 定期检查软件更新,并在可用时尽快安装。
- 确认您的设备 已通过 Play Protect 认证(请参阅上文 Google 的说明)。
- 关注厂商关于清洁固件发布的通知,保持信息更新。