Ein neuer Android-Schädling namens „Keenadu“ bedroht die Gerätesicherheit von Grund auf. Die Malware wird bereits ab Werk in die Firmware von Tablets eingeschleust und hat Tausende Geräte weltweit infiziert – darunter auch in Deutschland.
Das berichten Cybersicherheitsforscher des Unternehmens Kaspersky. Die Schadsoftware nutzt eine Schwachstelle in der Lieferkette und wird direkt in ein kritisches Systemmodul eingebettet. So kann sie sich in jedes gestartete Programm einschleusen. Bisher wurde Keenadu auf über 13.000 Geräten nachgewiesen, mit Schwerpunkten in Russland, Japan, Deutschland, Brasilien und den Niederlanden.
Die Gefahr steckt im Systemkern
Was Keenadu so gefährlich macht, ist seine Tarnung. Statt sich über manipulierte Apps einzuschleusen, ist der Code bereits in der Geräte-Firmware versteckt. Konkret nistet er sich in der Systembibliothek libandroid_runtime.so ein, die beim Hochfahren des Geräts geladen wird.
Von dort injiziert sich die Malware in den „Zygote“-Prozess – die Mutter aller Android-Apps. Das Ergebnis: Jede gestartete Anwendung beherbergt eine Kopie des Schädlings im Speicher. Angreifer erhalten so umfassende Kontrolle. In einigen Fällen wurde die kompromittierte Firmware sogar über scheinbar legitime Sicherheits-Updates (OTA) ausgespielt, was die Erkennung für Nutzer nahezu unmöglich macht.
So agiert der heimliche Mitbewohner
Aktiviert, fungiert Keenadu als mehrstufiger Loader. Angreifer können das Gerät fernsteuern und weitere Schadmodule nachladen. Derzeit konzentrieren sich die Betreiber offenbar auf Werbe-Betrug (Ad Fraud).
Analysierte Module manipulieren Browser-Suchen, klicken heimlich auf Werbeanzeigen oder spionieren Suchanfragen in Google Chrome aus. Ein Modul zielt speziell auf große E-Commerce-Plattformen wie Amazon, Shein und Temu ab. Neben der Firmware-Variante fanden Forscher Keenadu auch in eigenständigen Apps, die über Drittportale und offizielle Stores wie den Google Play Store verbreitet wurden. Eine betroffene Smart-Home-Kamera-App hatte dort über 300.000 Installationen, bevor sie entfernt wurde.
Das Problem: Milliarden ungeschützte Android-Geräte
Keenadu steht für einen besorgniserregenden Trend: Immer raffiniertere Schadsoftware dringt in tiefe Systemschichten vor und umgeht so klassische Sicherheitsbarrieren. Erinnert wird an den Firmware-Trojaner Triada, der ebenfalls die Lieferkette kompromittierte.
Das Risiko wird durch die Masse veralteter Geräte verschärft. Berichten zufolge erhalten weltweit über eine Milliarde Smartphones keine wichtigen Sicherheitsupdates mehr. Diese Geräte sind ein leichtes Ziel für Angreifer, die bekannte Schwachstellen ausnutzen. Zusammen mit anderen Bedrohungen wie der Spionagesoftware ZeroDayRAT oder Mobilgerät-Erpressungssoftware entsteht so ein gefährliches Umfeld.
Die Lieferkette als Achillesferse
Die Kampagne offenbart eine kritische Schwachstelle: die globale Elektronik-Lieferkette. Wird nur eine Stufe in der Firmware-Produktion kompromittiert, können Tausende Geräte verschiedener – oft kleinerer – Hersteller infiziert werden. Diese sind sich des Problems häufig nicht bewusst.
Die Methode umgeht den Schutz offizieller App-Stores und verlagert die Verantwortung auf die Hardware-Hersteller. Dass Keenadu auf Geräten mehrerer Marken (unter anderem Alldocube) und via digital signierter Updates gefunden wurde, zeigt die Professionalität der Angreifer. Ein interessantes Detail: Die Firmware-Variante aktiviert sich nicht, wenn Sprache oder Zeitzone auf Chinesisch eingestellt sind – ein möglicher Hinweis auf ihren Ursprung.
So schützen Sie Ihr Gerät
Angesichts solcher Bedrohungen aus der Lieferkette wird ein mehrschichtiger Sicherheitsansatz immer wichtiger.
Firmware-Trojaner wie Keenadu zeigen, wie schnell Angreifer tief in Geräte vordringen können. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Angriffsvektoren (inkl. Lieferketten- und Mobile-Bedrohungen) zusammen und liefert praxisnahe Schutzmaßnahmen für Unternehmen, IT-Verantwortliche und sicherheitsbewusste Nutzer. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen
Wichtige Schutzmaßnahmen:
Updates sofort installieren: Prüfen Sie regelmäßig auf Betriebssystem- und Sicherheitsupdates. Google veröffentlicht monatliche Security Bulletins, die Hersteller an ihre Geräte weitergeben.
Bei unbekannten Marken vorsichtig sein: Seien Sie beim Kauf günstiger Geräte von No-Name-Herstellern skeptisch. Das Risiko für Lieferkettenkompromittierungen ist hier oft höher.
App-Berechtigungen prüfen: Überprüfen Sie auch in offiziellen Stores, welche Berechtigungen eine App einfordert. Vermeiden Sie exzessive Rechte, besonders für Barrierefreiheits-Dienste (Accessibility Services), die einer App umfassende Kontrolle geben.
Mobile Security-Lösung nutzen: Seriöse Antiviren-Apps können bekannte Malware erkennen und blockieren, die andere Verteidigungen umgangen hat.
Unoffizielle Stores meiden:* Das Installieren von Apps aus Drittquellen (Sideloading) erhöht das Infektionsrisiko erheblich. Bleiben Sie beim Google Play Store oder dem offiziellen Store des Geräteherstellers.
