Ein neuer Android-Backdoor infiziert Zehntausende Geräte weltweit – auch in Deutschland. Die Schadsoftware sitzt tief in der Firmware und umgeht alle Sicherheitsbarrieren.
Forscher des Sicherheitsunternehmens Kaspersky haben eine hochgefährliche Schadsoftware namens „Keenadu“ aufgedeckt. Der Backdoor wurde tief in der Firmware von Android-Tablets verschiedener Hersteller gefunden. Es handelt sich um einen Supply-Chain-Angriff, bei dem die Malware bereits während der Produktion in die Geräte eingeschleust wurde. Angreifer erhalten damit fast uneingeschränkte Fernkontrolle über jedes infizierte Tablet.
Die Entdeckung, die in einem Bericht vom 17. Februar 2026 detailliert wurde, zeigt eine neue Qualität von Android-Malware. Keenadu ist nicht als App installiert, sondern in eine zentrale Systembibliothek (libandroid_runtime.so) integriert. Dadurch injiziert sich der Schadcode in den „Zygote“-Prozess des Betriebssystems, aus dem alle Anwendungen gestartet werden. Keenadu umgeht so das Sicherheitsmodell von Android, das Apps normalerweise voneinander isoliert.
Bereits über 13.700 Nutzer weltweit sind betroffen. Die meisten infizierten Geräte wurden in Russland, Japan, Deutschland, Brasilien und den Niederlanden registriert.
Infektion über die Lieferkette: Hersteller versenden versehentlich Schadsoftware
Der Hauptinfektionsweg ist eine kompromittierte Lieferkette. Wahrscheinlich wurde während der Software-Entwicklung eine bösartige Komponente in den Quellcode eingefügt. Die Hersteller haben die infizierten Geräte unwissentlich ausgeliefert.
Konkret identifizierten die Forscher das Tablet-Modell iPlay 50 mini Pro der Marke Alldocube. Dessen Firmware war bereits seit August 2023 mit dem Backdoor verseucht. Alarmierend: Selbst nachfolgende Firmware-Updates, die nach Bekanntwerden früherer Malware-Probleme veröffentlicht wurden, waren noch immer infiziert. Da alle Firmware-Dateien mit gültigen digitalen Signaturen versehen waren, liegt der Verdacht nahe, dass die Kompromittierung während des Build-Prozesses stattfand. Teilweise wurde die schadhafte Firmware sogar über offizielle Over-the-Air-Updates (OTA) ausgespielt.
Die Betreiber nutzten weitere Verbreitungswege. Module der Malware fanden sich in System-Apps, etwa für die Gesichtserkennung, und sogar im offiziellen Google Play Store. Dort waren sie in Apps für Smart-Home-Kameras versteckt, die über 300.000 Mal heruntergeladen wurden, bevor sie entfernt wurden.
Unbegrenzter Zugriff und modulare Bedrohung
Einmal aktiv, fungiert Keenadu als mehrstufiger Loader. Die Angreifer erhalten uneingeschränkte Fernkontrolle. Die tiefe Integration erlaubt es, jede installierte App zu infizieren, neue Apps zu installieren und ihnen alle gewünschten Berechtigungen zu erteilen. Das ist der Schlüssel zu allen Daten auf dem Gerät: Fotos, private Nachrichten, Bankzugänge und Standortdaten. Die Malware kann sogar Suchanfragen im Inkognito-Modus des Chrome-Browsers abfangen.
Die Forscher fingen mehrere schädliche Module ab, die für verschiedene Zwecke entwickelt wurden:
* Ad-Betrug: Heimliche Interaktion mit Werbeanzeigen und das Simulieren von Klicks zur betrügerischen Monetarisierung.
* Suchumleitung: Abfangen von Suchanfragen aus der Browserleiste und Umleitung auf von Angreifern kontrollierte Suchmaschinen.
* Zielgerichtete Angriffe: Es wurden Plugins für beliebte Apps wie Google Chrome, YouTube, Facebook, Amazon und Temu beobachtet.
Auffällig: Die Firmware-Variante von Keenadu prüft, ob die Gerätesprache auf Chinesisch oder die Zeitzone auf China eingestellt ist. In diesen Fällen bleibt sie inaktiv – ein möglicher Hinweis auf ihren Ursprung.
Alarmzeichen für die gesamte Elektronik-Industrie
Das Auftauchen von Keenadu unterstreicht die wachsende Bedrohung durch Supply-Chain-Angriffe auf Consumer-Elektronik. Durch eine Kompromittierung auf Firmware-Ebene erreichen Angreifer ein Maß an Beständigkeit und Privilegien, das sich kaum entfernen lässt. Die Taktik erinnert an andere mächtige Android-Malware wie Triada, BADBOX und Vo1d, mit denen Keenadu durch gemeinsamen Code und Infrastruktur verbunden ist.
Die Präsenz der Malware in offiziellen App-Stores zeigt auch die anhaltende Herausforderung für Plattformbetreiber wie Google bei der Überprüfung aller Apps. Die betroffenen Anwendungen waren lange genug verfügbar, um eine beträchtliche Zahl von Nutzern zu infizieren. Der Vorfall ist eine deutliche Warnung für Verbraucher, selbst bei Downloads aus offiziellen Quellen vorsichtig zu sein – besonders beim Kauf von preiswerten No-Name-Geräten mit möglicherweise laxerer Sicherheit in der Lieferkette.
Abhilfe schwierig – Geräteaustausch oft einzige Lösung
Für Nutzer, bei denen Keenadu in der Firmware steckt, ist eine Bereinigung extrem schwierig. Die einzig wirksame Lösung ist der Austausch der Firmware gegen eine saubere Version vom Hersteller, sofern verfügbar. Sicherheitsexperten raten, infizierte Geräte sofort nicht mehr zu nutzen, um weiteren Datenverlust zu verhindern.
Bei Infektionen über System-Apps können erfahrene Nutzer die App deaktivieren, aber nicht deinstallieren. Wurde die Malware über eine Dritt-App installiert, sollte eine Deinstallation die Bedrohung beseitigen. Für alle Android-Nutzer gilt: Ein zuverlässiger Mobil-Scanner, zeitnahe Installation von Firmware-Updates vertrauenswürdiger Anbieter und Scans nach jedem Update sind essenziell. Kaspersky hat alle betroffenen Hersteller informiert. Langfristig müssen Hersteller ihre Software-Lieferketten überprüfen und die Sicherheit in Entwicklungs- und Build-Prozessen deutlich verbessern.
Wer sich vor tiefsitzenden Supply-Chain-Angriffen und Firmware-Backdoors schützen möchte, findet im kostenlosen E‑Book „Cyber Security Awareness Trends“ praxisnahe Schutzmaßnahmen, Checklisten und Empfehlungen für Firmware-Härtung sowie Supply-Chain-Checks für Unternehmen und IT-Verantwortliche. Der Leitfaden erklärt, welche Sofortmaßnahmen helfen und wie man langfristig Risiken reduziert. Jetzt kostenloses Cyber-Security-E-Book downloaden
Bei Infektionen über System-Apps können erfahrene Nutzer die App deaktivieren, aber nicht deinstallieren. Wurde die Malware über eine Dritt-App installiert, sollte eine Deinstallation die Bedrohung beseitigen. Für alle Android-Nutzer gilt: Ein zuverlässiger Mobil-Scanner, zeitnahe Installation von Firmware-Updates vertrauenswürdiger Anbieter und Scans nach jedem Update sind essenziell. Kaspersky hat alle betroffenen Hersteller informiert. Langfristig müssen Hersteller ihre Software-Lieferketten überprüfen und die Sicherheit in Entwicklungs- und Build-Prozessen deutlich verbessern.
