{"id":321716,"date":"2026-02-20T07:44:16","date_gmt":"2026-02-20T06:44:16","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=321716"},"modified":"2026-02-20T07:45:17","modified_gmt":"2026-02-20T06:45:17","slug":"android-geraete-mit-vorinstallierter-malware-auch-in-deutschland","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/02\/20\/android-geraete-mit-vorinstallierter-malware-auch-in-deutschland\/","title":{"rendered":"Android-Ger\u00e4te mit vorinstallierter Malware (auch in Deutschland)"},"content":{"rendered":"

Sicherheitsanbieter Kasperky hat eine in der Firmware von Android-Tablet-PCs eingeschleuste Malware entdeckt. Die Keenadu benannte Backdoor befindet sich in der Laufzeitbibliothek\u00a0libandroid_runtime.so.\u00a0<\/em>Eine Liste betroffener Hersteller ist mir aber nicht bekannt.<\/p>\n

<\/p>\n

\"\"Das Ganze macht die Tage die Runde, Kaspersky hat meinen Informationen nach aber bereits erste Informationen im Ende 2025 bekannt gegeben. Nachfolgender Tweet verweist auf einen Malware-Fund in Form der Keenadu-Backdoor in einer Laufzeitbibliothek, also der Android-Firmware.<\/p>\n

\"Android<\/a><\/p>\n

Zum 17. Februar 2026 hat Kaspersky dann seinen finalen Untersuchungsbericht\u00a0Divide and conquer: how the new Keenadu backdoor exposed links between major Android botnets<\/a> vorgelegt.<\/p>\n

Kaspersky habt eine neue Backdoor entdeckt, die sie Keenadu getauft haben. Diese Backdoor befindet sich in der Firmware von Ger\u00e4ten verschiedener Marken. Die Infektion erfolgte w\u00e4hrend der Firmware-Erstellungsphase, in der eine b\u00f6sartige statische Bibliothek mit libandroid_runtime.so<\/em> verkn\u00fcpft wurde.<\/p>\n

Sobald die Malware auf dem Ger\u00e4t aktiv war, injizierte sie sich \u00e4hnlich wie Triada (ein Android-Trojaner den Kaspersky im April 2025 thematisiert hatte<\/a>) in den Zygote-Prozess. In mehreren F\u00e4llen wurde die kompromittierte Firmware mit einem OTA-Update ausgeliefert.<\/p>\n

Beim Start wird eine Kopie der Hintert\u00fcr in den Adressraum jeder App geladen. Die Malware ist ein mehrstufiger Loader, der seinen Betreibern die uneingeschr\u00e4nkte M\u00f6glichkeit gibt, das Ger\u00e4t des Opfers aus der Ferne zu steuern. Kaspersky gibt an, die von Keenadu abgerufenen Payloads erfolgreich abgefangen zu haben. Je nach der Ziel-App kapern diese Module die Suchmaschine im Browser, monetarisieren neue App-Installationen und interagieren heimlich mit Werbeelementen.<\/p>\n

Eine bestimmte Nutzlast, die man im Rahmen von Untersuchungen identifiziert habe, wurde auch in zahlreichen eigenst\u00e4ndigen Apps gefunden, die \u00fcber Repositorys von Drittanbietern sowie \u00fcber offizielle Stores wie Google Play und Xiaomi GetApps vertrieben werden.<\/p>\n

In bestimmten Firmware-Versionen wurde Keenadu direkt in wichtige Systemdienstprogramme integriert. Darunter befindet sich der Gesichtserkennungsdienst, die Launcher-App und andere Elemente. Die Untersuchung ergab eine Verbindung zwischen einigen der produktivsten Android-Botnets: Triada, BADBOX, Vo1d und Keenadu. Telemetriedaten deuten darauf hin, dass weltweit 13.715 Nutzer mit Keenadu infiziert sind. Die Ger\u00e4te finden sich in der Mehrzahl in Russland, Japan, Deutschland, Brasilien und den Niederlanden.<\/p>\n

Die Malware wurde in der Firmware von Tablets mehrerer Hersteller gefunden. Der chinesische Herstellers Alldocube hatte bereits Malware-Probleme in einem seiner Modelle einger\u00e4umt, aber laut Kaspersky auch in nachfolgenden Firmware-Updates f\u00fcr dieses Ger\u00e4t die Malware ausgeliefert.<\/p>\n

Es scheint mir so, dass diese Backdoor \u00fcber die Firmware von No-Name Ger\u00e4ten (China-Import-Ware) verteilt wird. Zudem hat Google wohl drei Android-Apps mit dem Schadcode aus dem Play Store rausgeworfen. Wenn ich nichts \u00fcberlesen habe, wurden aber weder die Hersteller noch die Apps durch Kasperky benannt. Details sind dem Kaspersky-Report<\/a> zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsanbieter Kasperky hat eine in der Firmware von Android-Tablet-PCs eingeschleuste Malware entdeckt. Die Keenadu benannte Backdoor befindet sich in der Laufzeitbibliothek\u00a0libandroid_runtime.so.\u00a0Eine Liste betroffener Hersteller ist mir aber nicht bekannt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,1018],"class_list":["post-321716","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-malware"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321716","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321716"}],"version-history":[{"count":3,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321716\/revisions"}],"predecessor-version":[{"id":321720,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321716\/revisions\/321720"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321716"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321716"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321716"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}