https://mitanyan98.hatenablog.com/entry/2026/02/27/121822

まとめではなく、「散らし」です。

何があったのか

「Keenadu」というマルウェアが格安中華タブレットメーカーの複数機種で発見され、その感染範囲がかなり広いと話題になっています。

ロシア・ドイツ・日本のAndroidタブレットにKeenaduバックドアが見つかる

codebook.machinarecord.com

Divide and conquer： how the new Keenadu backdoor exposed links between major Android botnets

securelist.com

おそらく開発者環境が侵害されていて、正規署名されてAndroidファームウェアレベルで存在するバックドア「Keenadu」

www.sdsg.moe

マルウェアの動作は情報流出などの深刻なものでなく、アフィリエイトで小遣い稼ぎみたいな挙動をしている程度のようです。しかしほぼRoot権限で何でもできるのでヤバいですよ。

Systemパーティション(書き込み不可)内にあるファイルが感染しているので一般ユーザーが除去することはできず、メーカーの対応待ちとなります。

発生しているメーカーは中堅～無名の中華格安タブレットメーカーで、Alldocubeを筆頭に複数のメーカーで確認されています。

感染経路は出荷時(OSビルド時)、OTAアップデート経由のようです。

開発環境がしっかりしているXiaomi等大手は問題なさそうです。

マルウェアが出荷時点/OTAのタイミングでOS内部に混入
- 中小メーカーの開発環境・OTAサーバーの汚染が原因と考えられるため
1メーカー1機種ではなく、複数のメーカー・機種で感染が確認
- Helio G99搭載機種に多く検出報告あり
- 報告のある機種でも検出されない場合もある
Systemパーティションに感染ファイルがあるので、メーカー対応(アップデート)以外で一般ユーザーが除去することは不可能
- ROM焼きをする必要がある！
- 言語を中国語、タイムゾーンを中国に変更するとマルウェアが動作しなくなる模様

検出方法

play.google.com

このアンチウイルスソフトで検出ができるようです。

入れてすぐだと検出されないようなので、パターン更新後にスキャンしてください。

感染報告

Teclast

T50 Pro (G99)

Teclast T50 Pro(Android13)は混入していました😭 https://t.co/wtMDcAwM3N pic.twitter.com/6M1ye3CfiX
— nukomode (@nukomode) 2026年2月26日

T65 Max(G99)

keenaduマルウェア食らってた(中華タブ)

Teclast T65Max

超限定的な使い方しかしてなかったので、まあ多分実害はないのだろうけど、対応されるまでは電源もう入れられんな。
(そして対応は望み薄) pic.twitter.com/i32Xrk0rwq
— nobynoby*(のり) (@WataruNRT) 2026年2月26日

公式声明？

teclast カスタマーからの返信#teclast #Keenadu pic.twitter.com/IF44bRU6a6
— なんもん (@lR2AUn7x4j11270) 2026年3月1日

alldocube

【重要なお知らせ】
深夜に大変恐れ入りますが、ALLDOCUBEタブレットのシステムセキュリティ調査に関する最新の進捗をご報告いたします。… pic.twitter.com/slpupDMCs9
— Alldocube Japan (@AlldocubeJapan) 2026年2月26日

iPlay 50 mini pro (android13)

iPlay 60 mini pro (android14)

iPlay 60 Pro (android14)

iPlay 70 pro (android14)

がメーカーで確認されているようです。(すべてG99)

iPlay 60 mini Pro/ProのAndroid15バージョンは問題ないようです。なのでバージョンによって感染している・していないがあります。

修正OTAアプデが3月5日までに出すと発表しています。

iplay70 pro(G99)

ALLDOCUBE iPlay 70 ProでAndroid.Keenaduを検出。iPlay 70 Max Proでは未検出。パスワード管理アプリや金融資産管理アプリ等のデータは入れていないから良いが今後の後継機購入を含めてどうするかは考慮の材料になる。尚他社だとHEADWOLF FPad 7等では未検出。早めにアップデータ撒いた方が良くね？ https://t.co/k7DBpUPbcE pic.twitter.com/Os4Dwoztbl
— 娑婆助 (@shabasuke) 2026年2月25日

iPlay 60 mini pro(G99)

Dr.WebLightでフルスキャンしたらALLDOCUBEのiPlay60miniproからKeenaduが検出された。 pic.twitter.com/rojL4bIOfN
— 花山おっさん (@hiro2025aaa) 2026年2月25日

iPlay 60 Pro (G99)

ALLDOCUBE iPlay 60 Pro Android14版
HelioG99、6GB、128GB
日本国内正規販売品にて感染確認しました。#Alldocube #Keenadu #android https://t.co/gUEO4mwMBr pic.twitter.com/6haqPC2ejD
— YoZki_ 💫⚒️🍙🎣🌙🎧🔧💅✨ (@YoZki_VR) 2026年2月26日

iPlay 50 mini pro (G99)

「Anti-virus Dr.Web Light」でALLDOCUBE iPlay 50 mini ProをスキャンしたらKeenadu.7と8クンみーつけた！

おいおい…。 pic.twitter.com/IBDYPRr0xF
— K-TRUE (@k_true_jp) 2026年2月25日

iPlay 60 Pad Pro(G99)は検出されてないらしい

Hitabt

G30A (g99)

見事にKeenaduいたので、Hitabt G30A君は初期化されて箱に戻りました。

ゴミが増えてしまった、、、 pic.twitter.com/YqAFLquJFG
— しゅーぞー@駆け出し〇〇 (@matsunn22) 2026年2月26日

P30A(G99)

egg.5ch.net

Headwolf

Fpad6(G99)

昨年Amazonで購入後不具合で交換したHeadwolf Fpad6(F6_V1.0_20250102)からもlibandroid_runtime\.soでKeenadu見つかったわ。只今問い合わせ中。@headwolfjapan https://t.co/su1AfyItz7
— Gagne (@gagne) 2026年2月25日

Fpad5pro(G99)

Headwolf FPad5 ProからKeenadu検出されたわ
— ギャピン (@gyapin) 2026年2月25日

aiwa

tab AG10(G99)

Helio G99搭載タブレットに感染報告が多いマルウェアのKeenadu、Lenovo Tab Plus (TB351FU)は問題なさそうだけど、aiwa tab AG10 (JA3-TBA1003)は感染してた… pic.twitter.com/iLXHKUm3P7
— 井戸水 (@idomizu_) 2026年2月27日

AvidPad DOOGEE

【🚨注意喚起】激安中華タブ検討中の人へ

Kasperskyにて一部メーカーのタブレットにマルウェア「Keenadu」検出を確認

【感染報告あり】
❌ iPlay50 mini Pro
❌ iPlay60 mini Pro
❌ DOOGEE T30 Pro
❌ AvidPad A90
❌ Hitabt G30Ahttps://t.co/iihHvPVZHk
— たいりく🌏️ (@retsu_zone) 2026年2月23日

A90(G99),T30 Pro(G99)

Ulefone

armor 23 ultra (Dimensity8020)

例のkeenadu,念のためarmor 23 ultra をチェックかけてみたら感染してました
中々ニッチなスマホなので被害者はあまりいないと思いますがSOCがDimensity 8020なのでまさかG99以外のデバイスから検出されるとは思いませんでした。 pic.twitter.com/hMgp3e0cr5
— gotokan123 (@gotokan123) 2026年3月1日