Eine neue, hochgefährliche Schadsoftware namens Keenadu hat sich in der Firmware zahlreicher Android-Geräte eingenistet. Es handelt sich um einen massiven Angriff auf die Lieferkette, der Angreifern die vollständige Kontrolle über Smartphones und Tablets verschafft.
Das geht aus einem aktuellen Bericht des Cybersicherheitsunternehmens Kaspersky hervor. Die Experten identifizierten die Schadsoftware bereits auf über 13.000 Geräten weltweit. Hauptziel ist zwar Betrug mit Werbeeinnahmen, doch Keenadu kann auch als vollwertiges Hintertürchen fungieren. Die Verbreitung erfolgt auf mehreren Wegen: von vorkonfigurierter Firmware über manipulierte System-Updates bis hin zu Apps im offiziellen Google Play Store. Besonders viele Infektionen meldeten Nutzer in Russland, Japan, Deutschland, Brasilien und den Niederlanden.
Vom Werk bis zum App-Store: Ein vielschichtiger Angriff
Was Keenadu so gefährlich macht, ist seine Vielzahl an Infektionswegen. Die besorgniserregendste Methode ist die Integration direkt in die Geräte-Firmware. Das deutet auf einen Kompromittierten Lieferanten oder Herstellungsprozess hin. In einigen Fällen wurde die schadhafte Firmware sogar über signierte Over-the-Air-Updates (OTA) ausgeliefert – normalerweise ein Zeichen für vertrauenswürdige Sicherheitspatches.
Doch damit nicht genug: Die Malware fand sich auch in kritischen System-Apps wie dem Startbildschirm oder dem Gesichtserkennungsdienst. Letzteres könnte Angreifern den Zugriff auf biometrische Daten ermöglichen. Zudem tarnte sich Keenadu in mehreren Apps, etwa als Smart-Kamera-Tool, im Google Play Store. Allein dort wurden diese gefälschten Anwendungen über 300.000 Mal heruntergeladen, bevor sie entfernt wurden.
Technischer Blick: Die Zygote-Injektion
Die technische Raffinesse zeigt sich im Kern von Keenadu. Der Schadcode ist in eine kritische Android-Systembibliothek namens libandroid_runtime.so eingebettet. Diese wird bei jedem Systemstart von einem Master-Prozess namens „Zygote“ geladen. Da Zygote der Ursprung fast aller App-Prozesse ist, landet eine Kopie der Malware im Speicher jeder gestarteten Anwendung.
Diese Injektionsmethode ist höchst effektiv und gefährlich. Keenadu operiert außerhalb des normalen Android-Sicherheitssandkastens und kann so Standardbeschränkungen umgehen. Die Malware kann sich selbst jede benötigte Berechtigung erteilen, sensible Daten abgreifen und weitere schädliche Module installieren – alles ohne Zustimmung des Nutzers. Die Technik erinnert an die Android-Malware Triada und deutet auf Verbindungen zwischen großen Android-Botnetzen hin.
Von Werbebetrug zur totalen Kontrolle
Im beobachteten Einsatz diente Keenadu vor allem Ad Fraud, also Betrug mit Werbeeinnahmen. Die Malware kaperte Suchmaschinen im Browser, generierte betrügerische Klicks bei neuen App-Installationen und manipulierte Werbeanzeigen im Hintergrund.
Das zugrundeliegende Code-Potenzial ist jedoch weitaus bedrohlicher. Die Hintertür-Funktionalität ermöglicht Angreifern die vollständige Übernahme des infizierten Geräts. Sie könnten so auf alle persönlichen und finanziellen Informationen zugreifen: Medien, private Nachrichten, Bankdaten. Analysen zeigen, dass die Malware sogar Suchanfragen im inkognito Modus des Chrome-Browsers ausspähen kann – keine Aktivität bleibt privat.
Hersteller in der Pflicht, Nutzer in der Zwickmühle
Der Fall Keenadu unterstreicht die wachsende Bedrohung durch Lieferkettenangriffe, besonders bei preisgünstigen Android-Geräten. Der Hersteller Alldocube wurde namentlich identifiziert; sein Tablet-Modell „iPlay 50 mini Pro“ war mit infizierter Firmware ausgeliefert. Kaspersky hat Alldocube und andere betroffene Anbieter informiert. Indizien deuten auf mutmaßlich chinesischsprachige Urheber hin, da die Malware Geräte mit chinesischen Spracheinstellungen mied.
Lieferkettenangriffe wie Keenadu zeigen, wie wichtig grundlegende Cyber-Sicherheitsmaßnahmen sind. Ein kostenloses E-Book fasst aktuelle Bedrohungen zusammen und liefert praxisnahe Schutzmaßnahmen – von Erkennungshinweisen bis zu Sofortaktionen für den Verdachtsfall. Ideal für IT-Verantwortliche und sicherheitsbewusste Nutzer, die ihre Geräte und Update-Prozesse besser absichern wollen. Jetzt kostenlosen Cyber-Security-Report herunterladen
Für Nutzer ist die Lage prekär: Bei einer Infektion auf Firmware-Ebene ist eine Bereinigung extrem schwierig und oft nur durch einen kompletten Firmware-Austausch möglich – für den Durchschnittsnutzer kaum machbar. Experten raten im Verdachtsfall zur Nichtweiterbenutzung des Geräts. Google hat die schädlichen Apps zwar entfernt, die Gefahr durch vorinstallierte Malware bleibt. Der Vorfall ist eine deutliche Warnung an Verbraucher, wachsam zu sein, und an Hersteller, die Sicherheit in ihrer gesamten Lieferkette entschieden zu verbessern.
