警惕!新型安卓后门Keenadu:出厂即感染,Google Play也中招

2026年2月16日，卡巴斯基实验室发布的一份详细分析报告揭示了一种名为Keenadu的高度复杂新型安卓后门程序。这款恶意软件以其高超的隐蔽性和破坏力引发安全界高度关注：它能够在设备固件的构建阶段就植入其中，通过感染安卓系统的核心进程，让攻击者能够远程完全控制受害者的平板电脑和手机。

Keenadu的感染机制与此前臭名昭著的Triada木马如出一辙。它通过恶意静态库与系统核心库libandroid_runtime.so链接，从而在设备启动时注入到安卓的“孵化器”Zygote进程中。由于Zygote是所有安卓应用程序的父进程，一旦被感染，设备上启动的每一个应用都将被自动注入后门代码，这使得安卓的应用沙盒防护机制形同虚设。此次调查的源头可追溯至2025年4月卡巴斯基关于Triada利用Zygote感染固件窃取用户凭证的报告，正是循着这一线索，安全专家最终在包括Alldocube在内的多个品牌的平板固件中发现了Keenadu的踪迹。

Keenadu的传播途径非常广泛且危险。它不仅能通过被供应链污染的固件“出厂即感染”，还能藏身于面部识别服务、系统启动器等预装系统应用中。更令人担忧的是，其恶意模块还被发现嵌入在Google Play和小米GetApps等官方应用商店的多款应用中，例如名为Eoolii、Ziicam和Eyeplus的智能摄像头App，累计下载量超过30万次。卡巴斯基的遥测数据显示，全球已有至少13,715名用户受到影响，感染较集中的国家包括俄罗斯、日本、德国、巴西和荷兰。

该后门采用多阶段架构，以广告欺诈为主要牟利手段，但其能力远不止于此。它能劫持浏览器搜索引擎、秘密与广告元素交互并进行点击欺诈、甚至监控用户在Chrome无痕模式下的搜索记录。更危险的模块会针对亚马逊、SHEIN等购物应用，可能在用户不知情的情况下向购物车添加商品。同时，它还具备窃取设备信息、地理位置以及安装任意应用并授予所有权限的能力，理论上可随时转向窃取包括银行凭证在内的各种敏感信息。有趣的是，该恶意软件设有“开关”，如果设备语言为中文且时区为中国，或未安装Google Play服务，其恶意活动将自动终止，显示出明确的定向攻击意图。此次发现也揭示了Keenadu与Triada、BADBOX、Vo1d等几大安卓僵尸网络之间存在基础设施关联，表明这些大型恶意平台正在相互交互和协作。由于其深植于系统固件，标准卸载方法无效，用户通常只能刷入官方提供的干净固件或直接更换设备才能彻底清除。