卡巴斯基披露了一种名为Keenadu的新型安卓固件级后门恶意软件,该软件通过篡改安卓系统核心库libandroid_runtime.so,使其能在所有应用程序的运行环境中执行代码,从而获得对受感染设备的完全控制权。该恶意软件通过受损的OTA固件更新和非官方来源的修改版应用进行传播,甚至曾短暂上架于Google Play商店。Keenadu目前主要用于广告欺诈,但也能窃取用户的媒体文件、短信、银行凭证及地理位置等敏感信息,且标准的反病毒工具和恢复出厂设置均无法清除。
2 月 18 日消息,卡巴斯基昨日(2 月 17 日)发布报告,披露名为 Keenadu 的新型安卓固件级后门恶意软件,报告截至 2026 年 2 月已感染全球超过 13000 台设备。
在运行机制方面,不同于常规安卓病毒,Keenadu 直接嵌入设备固件、系统应用甚至 Google Play 的正规应用中。
IT之家援引博文介绍,该恶意软件通过篡改安卓系统核心库 libandroid_runtime.so,让其能在所有应用程序的运行环境中执行代码。这意味着攻击者可以获得受感染设备的“上帝视角”,拥有不受限制的完全控制权。
传播感染方面,卡巴斯基发现,该恶意软件不仅通过受损的无线下载(OTA)固件更新进行分发,还潜伏在非官方来源的修改版应用中。
更令人担忧的是,部分下载量达 30 万次的智能家居摄像头应用也被发现植入了该后门,且曾短暂上架于 Google Play 商店。
破坏力方面,Keenadu 目前主要被用于广告欺诈,但其潜在危害远不止于此。卡巴斯基强调,该后门能静默安装任意 APK 文件并授予其所有权限。
受害者的媒体文件、短信、银行凭证及地理位置均在窃取范围内。更具威胁的是,即使通过 Chrome 浏览器的“无痕模式”上网,该恶意软件也能实时监控用户的搜索查询内容。
由于 Keenadu 深度寄生于系统底层固件,标准的反病毒工具和恢复出厂设置均无法将其清除。安全专家警告,普通用户几乎无法手动修复受感染设备。虽然安装第三方纯净固件是一种解决方案,但这存在设备“变砖”的风险。
图源:卡巴斯基