以下の内容はhttps://www.sdsg.moe/entry/2026/02/20/135709より取得しました。

おそらく開発者環境が侵害されていて、正規署名されてAndroidファームウェアレベルで存在するバックドア「Keenadu」

脅威情報 by skybreaker

Kasperskyが確認した事例では、改ざんされたlibandroid_runtime.soZygoteプロセスに読み込ませている。これにより、Zygoteがアプリケーション起動ごとにそのプロセスにマルウェア機能をインジェクションする。

こうなると、起動したアプリは全てマルウェアによってなんだかんだされるのでどうにもならない。削除することもできないし。

そもそも、改ざんされたとみられるAndroidファームウェアのファイルは正規の署名が含まれるものもあるようで、開発者環境が侵害されているのが濃厚。

アップデートサーバから配信されて、ファームウェアアップデートでマルウェアに感染したものもあるようだ。
securelist.com

どうにもならん。

ユーザからの奇妙なDNSリクエスト報告

あるユーザがXDAにて、Alldocube製品の通信に変なDNSリクエストが含まれていることを確認した。
xdaforums.com

この報告では、かつてGigasetのOTAサーバが侵害されたことを引き合いに出し、同じようなことがAlldocubeのRedstoneでも行っているのではないかという話をしている。
www.bleepingcomputer.com

残念ながら、他のユーザから特に反応やリプライは無かったようだが。

Androidのアップデートを配信するOTAのサーバが侵害されれば、その後全てアップデートはマルウェア入りになってしまうので単純にヤバイ。

今回初めて知ったが、RedstoneがOTAサーバとして使われる有名なサービスらしい。このサーバをちゃんと管理しないと管理端末が一気に侵害されてしまうわけだ。

上記のような情報を参考に、KasperskyはAlldocubeの公式で配信されているファームウェアを解析したのでしょう。
・iPlay 50 mini Pro (T811M)
www.alldocube.com
・iPlay 50 mini Pro NFE (T811MAN)
www.alldocube.com

これを使うと良い感じにパーティションごとに展開できるらしい?-> github.com

こうして、上記XDAで報告されていたドメインとの通信の痕跡を発見し、詳細を解析してマルウェア「Keenadu」を発見したようだ。

Kasperskyのマルウェア検出記録では、Alldocubeだけではなく他のメーカでもあったようだが名前は非公開。

マルウェア機能、そんでどうなる?

基本的にはもう何でもできる。Zygoteから全てのアプリケーションを触れるし、削除できないし。

Kasperskyが確認したものとしては、特定のアプリに特化した機能もあった。全体通してみると、ただ塵も積もれば山となる形式でお金を稼ぎたいだけのように思えた。

ECサイト系アプリ(Amazon, SHEIN, Temu)

対象アプリ起動時にデバイス情報、アプリ情報をC2サーバに送信。

追加のモジュールや何らかの機能を持ったAPKを勝手にダウンロードやインストールを行う。

Kasperskyは追加モジュールを取得できなかったようだが、Redditでは「知らない内にカートに商品が追加されていた」という報告があったらしい。

おそらく、追加モジュールは勝手にECアプリ内で操作を行ったり、表示改ざんをしたりする機能があったのだろう。

もしかしたら、商品ページへ飛ばすアフィリエイト系のデータをくっ付けてカートに入れていたりしたのかもしれない。

広告クリッカーローダー(Youtube,Facebookなど)

対象アプリ実行時に広告クリック機能が対象アプリにインジェクションされる。

広告クリッカーはC2サーバとやり取りして、デバイスの情報やIPアドレスを取得。

おそらく、利用者から見えない広告リンクを表示し通常の操作内でクリックさせていたと推測。

そうして、バックグラウンドで広告リンクにアクセスすることでチャリンチャリン稼いでいそう。

Chrome検索エンジンハイジャック(Chrome)

Chromeブラウザ起動時にブラウザの動作を監視。

検索を行った際に検索クエリをC2に送信、検索時に別の検索エンジンの検索結果にリダイレクト。

検索結果の改ざんによる罠サイトへの誘導かも。

でも、それよりかはここまでの流れから検索アフィリエイトのための操作なのではとも思います。

Nova (Phantom) クリッカー

以前に紹介した機械学習で広告クリックするやつ。
www.sdsg.moe

これで勝手にバックグラウンドで広告クリックでお金稼ぎ。

インストール収益化モジュール

アプリインストール操作時にアプリ情報をC2に送信。

インストールアプリに対応する広告トラッキングリンクを返す。

ダウンロードやインストールをアフィリエイト経由で行ったことにする。

お金稼ぐ。

ということ。

主な機能はアフィリエイトでお金稼ぎ?

ここまでやれば何でもできるんだが。でも、目立った機能はちまちまとお金稼ぎ。

以前紹介したBADBOXとの関連性もあるようなので、他の攻撃者に攻撃インフラやローダとして提供している可能性もある。
www.sdsg.moe

それでも平常時でも稼げる仕組みを作ったというのは、凄い執念だ。

全世界で13,715ユーザが影響を受けており、日本はロシアに次いで2番目に被害が多い国とのこと。

とりあえず、記事作成時でも普通に売ってる「iPlay 50 mini Pro」は完全にアウトで買わない方が良い。もしくは、Androidを入れ替えれば大丈夫か?

少なくとも、安いAndroid端末はヤバイことになっていないか、色んなフォーラムとかで確認してから買った方が良いな。

それでも、OTAが後から侵害されたとかあれば仕方ないかぁ。

であれば、ちゃんとしたお高いブランドのものだけで大事な情報を使いましょうっていう感じですかね。

全然関係ないけど、個人的にカメラが端末に綺麗に収まったpixel 10aが好みです。pixel 9aと機能変わらくねっていうのは気になるが。



以上の内容はhttps://www.sdsg.moe/entry/2026/02/20/135709より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14