『ALLDOCUBE タブレット4機種で感染確認を公表』 の クチコミ掲示板

[ALTEC DIG]

同社製品のマルウェアの感染報道があったが、事実らしく、4機種での確認とその是正処置の案内がされた。

書込番号：26422449

[ALTEC DIG]

続き

書込番号：26422452

[えがおいっぱい]

＞ALTEC DIGさん
ファームウエアにマルウエア混入。しかもネット情報では中国語に設定され、かつタイムゾーンが中国になると動作しないとありますので、明確に悪意をもって意図的にグローバル板にマルウエアを仕込んだという事になりますね。全世界で一体どれだけの人の情報が吸われたのでしょうね。これだから、中国メーカのIT機器は使いたくありません…。

書込番号：26422635

[無知蒙昧Limited]

なんかTECLASTでも検出したって見たけど、これ、ユーザー側でどうやったら検出できるのでしょうか？
手持ちのG99タブレット3台にMcAfeeリブセーフでウィルスチェックしたけど何も出なかった。

書込番号：26422757

[ALTEC DIG]

Codebookによるカスペルスキー社報告の要旨

カスペルスキーの研究者によって、Androidタブレットのファームウェアレベルに仕込まれたバックドアが発見された。バックドアは「Keenadu」と呼ばれ、デバイスのコアソフトウェアに直接組み込まれているため、すべてのアプリケーションが読み込むようになっている。したがって、攻撃者は被害者のデバイスを自由に制御することが可能であるとみられる。

マルウェアは侵害されたサプライチェーンを通じ、ファームウェア構築段階で標的のシステムに挿入されたと考えられる。つまり、デバイスは顧客に届く前に感染していた可能性があり、ベンダーは自社のデバイスが感染していることに気づいていなかった可能性があるとカスペルスキーは述べた。

バックドアの亜種は複数存在し、最も強力なバージョンはデバイスのファームウェアに直接埋め込まれていたとのこと。別の亜種はロック解除用の顔認識アプリや、Google Playなどの公式ストアやサードパーティのリポジトリを通じて配信されるアプリに隠されていた。

同社によると、1万3,700台以上のデバイスにKeenaduまたはそのモジュールの存在が確認され、検出件数が多かったのはロシア・日本・ドイツ・ブラジル・オランダだったという。一方、バックドアは特定の地域を回避するように設計されており、デバイスの言語が中国諸方言に設定され、デバイスが中国のタイムゾーンにある場合に機能を停止する。またPlayストアまたはGoogle Play開発者サービスがインストールされていないデバイスでも停止する模様。

Keenaduバックドアは主に広告詐欺に使用され、モジュールはブラウザの検索エンジンを乗っ取り、新しいアプリケーションのインストールを監視し、広告コンポーネントとやり取りして不正な収益を得る機能を持っているとのこと。Amazonのカートに勝手に商品が追加されていたという報告も上がっている。

研究者によって、中国のAlldocube社を含む複数のメーカーのタブレットのファームウェアにKeenaduバックドアが組み込まれていることが確認された。2024年にAlldocubeは製品の1つにマルウェアの脆弱性があると公表したものの、その後のファームウェアアップデートで解決されることはなかった。カスペルスキーは他のメーカー名は明らかにしなかったものの、ベンダーに問題を通知済みであると述べた。攻撃を行った脅威アクターを特定していないものの、2025年に発生したTriadaバックドアの感染との類似点が指摘されている。

Keenaduはファームウェアレベルに組み込まれているため、信頼できるソースから入手したクリーンなファームウェアバージョンをインストールすることが推奨される。デバイスを替えることも緩和策の1つとなっている。

書込番号：26422768

[えがおいっぱい]

＞無知蒙昧Limitedさん
ファームウエアに埋め込まれているためにアプリでは検出できないです。そもそも、ウイルス検知アプリそのものが、そのあくどいファームウエアの支配下にあるわけですので。

今回カスペルスキー（ロシアの会社）が解析した手法は、手間をかけ、ファームウエアの情報をなんらかの方法で吸い出し、ソースレベルで解析した結果からだと思います。

ロシアの企業がロシアターゲットにしていたからという事が判明の理由でしょうが、国家レベルの思惑を感じます。

日本は商業レベルでは中国を危険国認定しているわけではありませんし、そもそも、日本にはまともなウイルス検知会社もありません。全て海外企業ですからね。MSにしても、カスペルスキーにしても、ESETにしても、マカフィー、ウイルスバスターetcにしても。

自国に影響がないと思っている以上、日本国内で、この手の摘発が盛んになるということはなさそうです。

いずれにしても、やばそうな物には手を出さない、所有するなら自己責任というのが回答かと思います。

書込番号：26422849

[無知蒙昧Limited]

＞えがおいっぱいさん

そうなんですか？
「TECLASTも」ってのはXの書き込みでしたが、私はXやってないのでこれ以上はわかりません。
（Googleの検索結果で見るだけはできた）
そこには確か検出画面をカメラで撮影したのが載ってました。
外部機器によるチェックだったのかもしれません。

McAfeeはどうやってエンジンやパターンファイルを更新しているかわかりませんが、発覚から数日経っているので検出できるかなぁと思って。
Androidだって基本的にはメモリに展開されて実行されますし、何が展開されているか/展開可能かのモジュールリストはカーネルが持っていますから、ウィルス検索ソフトはそこから構成モジュールを検索できるはずなんですよね。
ただ、ROM上の固定アドレスに処理を飛ばす仕組みで仕込まれていたら検出不能なんですが。

個人的に調べられるのかなぁって思っただけだし、今更今使ってるのを廃棄もできないしなぁ。
（Alldocubeは持ってないけど、TECLASTは予備として1台持ってる）

書込番号：26422917

[ALTEC DIG]

Dr.Web Lite での検出記事

書込番号：26423064

[無知蒙昧Limited]

＞ALTEC DIGさん

おおっ！ありがとうございます。
Dr.Web Light、早速インストール＆スキャンしてみました。
・TECLAST T65 Max　何も検出せず
・DOOGEE T30 Max　何も検出せず
・Rebecco M50　何も検出せず
※Helio G99タブレットのみ。

書込番号：26423219

[ALTEC DIG]

2026.3.3に対応したファームウェアを配信開始と

書込番号：26425647

[ALTEC DIG]

完了したらしい

書込番号：26426344

[ALTEC DIG]

為念　Dr.WEB Light フルスキャン

書込番号：26426826