Sicherheitsanbieter Kasperky hat eine in der Firmware von Android-Tablet-PCs eingeschleuste Malware entdeckt. Die Keenadu benannte Backdoor befindet sich in der Laufzeitbibliothek libandroid_runtime.so. Eine Liste betroffener Hersteller ist mir aber nicht bekannt.
Das Ganze macht die Tage die Runde, Kaspersky hat meinen Informationen nach aber bereits erste Informationen im Ende 2025 bekannt gegeben. Nachfolgender Tweet verweist auf einen Malware-Fund in Form der Keenadu-Backdoor in einer Laufzeitbibliothek, also der Android-Firmware.
Zum 17. Februar 2026 hat Kaspersky dann seinen finalen Untersuchungsbericht Divide and conquer: how the new Keenadu backdoor exposed links between major Android botnets vorgelegt.
Kaspersky habt eine neue Backdoor entdeckt, die sie Keenadu getauft haben. Diese Backdoor befindet sich in der Firmware von Geräten verschiedener Marken. Die Infektion erfolgte während der Firmware-Erstellungsphase, in der eine bösartige statische Bibliothek mit libandroid_runtime.so verknüpft wurde.
Sobald die Malware auf dem Gerät aktiv war, injizierte sie sich ähnlich wie Triada (ein Android-Trojaner den Kaspersky im April 2025 thematisiert hatte) in den Zygote-Prozess. In mehreren Fällen wurde die kompromittierte Firmware mit einem OTA-Update ausgeliefert.
Beim Start wird eine Kopie der Hintertür in den Adressraum jeder App geladen. Die Malware ist ein mehrstufiger Loader, der seinen Betreibern die uneingeschränkte Möglichkeit gibt, das Gerät des Opfers aus der Ferne zu steuern. Kaspersky gibt an, die von Keenadu abgerufenen Payloads erfolgreich abgefangen zu haben. Je nach der Ziel-App kapern diese Module die Suchmaschine im Browser, monetarisieren neue App-Installationen und interagieren heimlich mit Werbeelementen.
Eine bestimmte Nutzlast, die man im Rahmen von Untersuchungen identifiziert habe, wurde auch in zahlreichen eigenständigen Apps gefunden, die über Repositorys von Drittanbietern sowie über offizielle Stores wie Google Play und Xiaomi GetApps vertrieben werden.
In bestimmten Firmware-Versionen wurde Keenadu direkt in wichtige Systemdienstprogramme integriert. Darunter befindet sich der Gesichtserkennungsdienst, die Launcher-App und andere Elemente. Die Untersuchung ergab eine Verbindung zwischen einigen der produktivsten Android-Botnets: Triada, BADBOX, Vo1d und Keenadu. Telemetriedaten deuten darauf hin, dass weltweit 13.715 Nutzer mit Keenadu infiziert sind. Die Geräte finden sich in der Mehrzahl in Russland, Japan, Deutschland, Brasilien und den Niederlanden.
Die Malware wurde in der Firmware von Tablets mehrerer Hersteller gefunden. Der chinesische Herstellers Alldocube hatte bereits Malware-Probleme in einem seiner Modelle eingeräumt, aber laut Kaspersky auch in nachfolgenden Firmware-Updates für dieses Gerät die Malware ausgeliefert.
Es scheint mir so, dass diese Backdoor über die Firmware von No-Name Geräten (China-Import-Ware) verteilt wird. Zudem hat Google wohl drei Android-Apps mit dem Schadcode aus dem Play Store rausgeworfen. Wenn ich nichts überlesen habe, wurden aber weder die Hersteller noch die Apps durch Kasperky benannt. Details sind dem Kaspersky-Report zu entnehmen.
MVP: 2013 – 2016
