编辑者的话:在软件供应链威胁日益隐蔽的时代,卡巴斯基的Keenadu发现突显了恶意软件如何在多个环节渗入设备——从预装固件到官方商店的应用程序。本简报详细介绍了Keenadu的定义、运作方式,以及随着移动设备与智能生态系统的日益融合,消费者和供应商应关注的要点。虽然该研究技术性较强,但核心信息十分明确:常规设备更新和强大的安全层仍然是应对不断演变威胁的关键。
要点总结
Keenadu是Android恶意软件,可以预装在固件中、嵌入系统应用,或从官方商店下载。
用于广告欺诈,某些变体甚至能让攻击者完全控制设备。
截至2026年2月,已报告感染设备超过13000台;受影响国家包括俄罗斯、日本、德国、巴西等。
变体包括固件集成的后门、系统应用植入,以及Google Play上的恶意应用。
一些在Google Play上的感染应用已被下架,但其他应用商店和APK文件中的风险仍存。
为何此事重要
预装恶意软件在设备设置的最早阶段就威胁用户,绕过常规防御,提升移动生态系统的风险等级。Keenadu案例强调了对供应链的严格验证和主动安全解决方案的必要性,这些方案应监控固件和应用层的完整性。
接下来应关注的内容
卡巴斯基持续更新Keenadu变体及其传播途径的信息。
监测通过固件供应链或应用商店影响的新设备。
用户应遵循的建议:及时应用固件更新,使用可信的安全软件检测此类威胁。
披露声明:以下内容由公司/公关代表提供的新闻稿,旨在提供信息。
卡巴斯基发现Keenadu Android恶意软件预装在设备上
卡巴斯基检测到一种新型Android恶意软件,命名为Keenadu。该恶意软件以多种形式传播——可以直接预装在设备固件中、嵌入系统应用,甚至从Google Play等官方应用商店下载。目前,Keenadu主要用于广告欺诈,攻击者利用感染的设备作为机器人点击广告链接,但它也可用于恶意目的,某些变体甚至允许完全控制受害设备。
截至2026年2月,卡巴斯基移动安全解决方案已检测到超过13000台感染Keenadu的设备。受影响最多的国家包括俄罗斯、日本、德国、巴西、荷兰、土耳其等。
集成于设备固件中
类似于卡巴斯基在2025年检测到的Triada后门,部分Keenadu版本被集成在多个Android平板的固件中,处于供应链的某一环节。在此变体中,Keenadu是一个功能完整的后门,赋予攻击者对受害设备的无限控制权。它可以感染设备上所有已安装的应用,安装任何APK文件中的应用,并赋予其所有权限。因此,设备上的所有信息,包括媒体、消息、银行凭证、位置等,都可能被窃取。该恶意软件甚至会监控用户在Chrome浏览器隐身模式下输入的搜索查询。
当集成在固件中时,恶意软件的行为会因多种因素而异。如果设备的语言设置为中文方言之一,且时间设置为中国时区,则不会激活。若设备未安装Google Play商店和Google Play服务,也不会启动。
嵌入系统应用中
在此变体中,Keenadu的功能有限——它不能感染设备上的所有应用,但由于存在于具有提升权限的系统应用中,仍能在用户不知情的情况下安装攻击者选择的任何侧载应用。此外,卡巴斯基还发现Keenadu嵌入在负责用面部解锁设备的系统应用中,攻击者可能获取受害者的面部数据。有些情况下,Keenadu被嵌入在负责主屏幕界面的应用中。
通过Android应用商店分发的应用中嵌入
卡巴斯基专家还发现,Google Play上分发的多个应用感染了Keenadu。这些应用主要是智能家居摄像头的控制软件,已被下载超过30万次。截止发表时,这些应用已从Google Play下架。当用户启动这些应用时,攻击者可能会在应用内启动隐形的网页浏览器标签,用于在用户不知情的情况下浏览不同网站。其他安全研究人员的早期研究也显示,类似的感染应用通过独立APK文件或其他应用商店分发。
Google Play上的感染应用
我们的最新研究显示,预装恶意软件在多款Android设备上是一个紧迫问题。用户无需采取任何行动,设备就可能在出厂时已被感染。用户应了解这一风险,并使用能检测此类恶意软件的安全解决方案。供应链可能未被察觉的漏洞导致Keenadu渗入设备,因其伪装成合法系统组件。卡巴斯基安全研究员达米特里·卡利宁(Dmitry Kalinin)强调:“检查生产过程的每个环节,确保设备固件未被感染,非常重要。”
详情请参阅Securelist的相关报道。
建议措施:
使用可靠的安全软件,及时获得设备上类似威胁的通知。
如果设备固件被感染,应检查固件更新。更新后,使用安全软件对设备进行扫描。
若系统应用被感染,建议停止使用并禁用该应用。如启动器应用被感染,建议禁用默认启动器,改用第三方启动器。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。迄今为止,已保护超过十亿台设备免受新兴网络威胁和定向攻击。凭借深厚的威胁情报和安全专业知识,卡巴斯基不断创新,提供保护个人、企业、关键基础设施和政府的解决方案和服务。其全面的安全产品组合包括个人数字生活保护、企业专用安全产品与服务,以及应对复杂不断演变的数字威胁的Cyber Immun解决方案。我们帮助数百万个人用户和近20万企业客户保护他们最关心的资产。了解更多请访问www.kaspersky.com。
本文最初发表于Crypto Breaking News,标题为“卡巴斯基发现Keenadu Android恶意软件预装在设备上”——您的加密新闻、比特币新闻和区块链动态的可信来源。
