多个品牌的 Android 平板电脑预装内置恶意软件

Source: Android Authority

TL;DR

• 研究人员发现一种名为 Keenadu 的固件层级 Android 后门，预装在某些平板电脑上后即出厂。
• 该恶意软件会注入 Android 的 Zygote 进程，赋予攻击者对平板上应用和数据的广泛控制权。
• 此问题似乎仅限于不太知名的平板品牌；受影响的用户应立即安装更新。

背景

大多数 Android 恶意软件通过可疑应用或不安全下载传播，用户可以在一定程度上控制感染风险。然而，安全研究人员发现了一种更令人不安的威胁：一种在某些 Android 平板的固件中直接植入的后门，甚至在设备交付给用户之前就已存在。

技术细节

• Keenadu 是卡巴斯基研究员发现的固件层级后门。
• 它会注入 Zygote 进程——该核心系统组件负责启动 Android 设备上的每个应用。
• 一旦激活，后门可以：
  • 下载额外模块。
  • 重定向浏览器搜索。
  • 追踪应用安装以获取收益。
  • 与广告元素交互。

在此层级运行使得恶意软件的影响范围远超普通的恶意应用。

受影响设备

研究人员在 Alldocube iPlay 50 mini Pro 平板的固件镜像中发现了该后门。所有检查过的版本，包括供应商在承认恶意软件报告后发布的版本，都包含此后门。固件文件携带有效的数字签名，表明这是供应链被篡改，而非发布后被修改。

影响与传播

• 卡巴斯基报告称全球已有 13,715 名用户遭遇 Keenadu 或其模块。
• 感染人数最高的地区为 俄罗斯、日本、德国、巴西和荷兰。
• 该威胁与其他 Android 僵尸网络家族有关，如 Triada、BadBox 和 Vo1d。

此问题 不 影响主要旗舰 Android 品牌。大多数受影响的供应商未被公开命名。

建议

• 如果你拥有预算型 Android 平板——尤其是来自较小或不熟悉品牌的设备——请定期检查软件更新，并在可用时尽快安装。
• 供应商已收到通知，预计会发布清除后门的固件更新。

进一步阅读

• Android malware overview
• Report on Keenadu Android backdoor
• Help Net Security article
• Best Android tablets guide