Eine neue Android-Malware namens „Keenadu“ nistet sich bereits während der Produktion in Geräten ein. Sicherheitsforscher von Kaspersky entdeckten die Schadsoftware diese Woche in der Firmware von Tablets. Sie gewährt Angreifern uneingeschränkte Kontrolle.
Keenadu stellt eine neue Eskalationsstufe dar. Anders als herkömmliche Schad-Apps wird die Malware nicht vom Nutzer installiert, sondern kommt ab Werk auf das Gerät. Sie versteckt sich tief im System und ist durch einen einfachen Werksreset nicht zu entfernen.
Angesichts raffinierter Bedrohungen wie Keenadu wird der Schutz persönlicher Daten auf dem Smartphone immer wichtiger. Wie Sie Ihr Android-Gerät mit einfachen Handgriffen gegen den Diebstahl von Banking-Daten und privaten Chats absichern, erfahren Sie in diesem kostenlosen Ratgeber. Kostenloses Android-Sicherheitspaket jetzt herunterladen
So infiziert Keenadu jede App auf Ihrem Gerät
Die Malware nutzt einen cleveren Mechanismus. Sie integriert sich in die kritische Systemdatei libandroid_runtime.so, die beim Start des Betriebssystems geladen wird. Von dort aus kompromittiert sie den sogenannten „Zygote“-Prozess.
Dieser Prozess dient in Android als Vorlage für alle anderen Apps. Die Infektion bedeutet: Sobald der Nutzer eine App startet – ob Banking-Client, Messenger oder E-Mail-Programm – wird automatisch eine Kopie des Schadcodes mitgeladen. Die fundamentale Sicherheitsbarriere des Systems, die Sandbox, wird damit komplett ausgehebelt.
Welche Geräte sind betroffen?
Der primäre Infektionsweg ist ein Angriff auf die Lieferkette. Die Malware wird bereits bei der Herstellung der Geräte-Firmware eingeschleust. In einigen Fällen verbreitete sich die kompromittierte Software sogar über offizielle, digital signierte Updates.
Sicherheitsforscher konnten Keenadu eindeutig auf Tablets des Herstellers Alldocube nachweisen, konkret dem Modell iPlay 50 mini Pro. Es wird jedoch angenommen, dass auch Geräte anderer, meist kleinerer Hersteller betroffen sind. Die Verbreitung ist global.
Laut Kaspersky sind weltweit über 13.000 Nutzer mit der Malware in Berührung gekommen. Zu den am stärksten betroffenen Ländern zählen Russland, Japan, Brasilien, die Niederlande und auch Deutschland.
Vom Werbebetrug zur Totalüberwachung
Aktuell nutzen die Angreifer ihre Kontrolle vor allem für finanziellen Betrug. Nachgeladene Module manipulieren Suchanfragen, fälschen App-Installationen für Provisionen und interagieren heimlich mit Werbung.
Doch das wahre Risiko liegt im Potenzial. Die Architektur ermöglicht eine komplette Übernahme des Geräts. Der Schritt zum Ausspähen von Bankdaten, privaten Chats oder zur Installation von Spionagesoftware könnte jederzeit erfolgen – unbemerkt vom Nutzer.
Herkömmliche Antiviren-Scanner sind meist machtlos. Sie verfügen nicht über die nötigen Systemrechte, um eine in der Firmware verankerte Bedrohung zu erkennen oder zu beseitigen.
Gibt es einen Schutz vor der Malware?
Für bereits betroffene Nutzer gibt es kaum einfache Lösungen. Ein Werksreset reicht nicht aus. Bleibt nur das technisch anspruchsvolle Aufspielen einer sauberen Firmware vom Hersteller – sofern verfügbar. In vielen Fällen könnte der Austausch des Geräts die einzig sichere Option sein.
Google erklärt, sein Dienst Google Play Protect könne Nutzer vor bekannten Versionen der Malware schützen und zugehörige Apps deaktivieren. Als grundlegende Vorsichtsmaßnahme raten Experten, Geräte von etablierten Herstellern zu bevorzugen und bei extrem günstigen Angeboten unbekannter Marken skeptisch zu sein.
Der Fall Keenadu unterstreicht ein wachsendes Problem: die Anfälligkeit der globalen Lieferkette für Elektronik. Das Vertrauen der Nutzer gilt nicht nur der Software, sondern muss sich auch auf die Hardware und ihren Herstellungsprozess erstrecken.
