Android-Malware Keenadu infiziert tausende Geräte ab Werk

Eine neue Android-Malware namens „Keenadu“ ist bereits ab Werk auf Tausenden Smartphones installiert. Das Cybersicherheitsunternehmen Kaspersky identifizierte weltweit über 13.000 betroffene Geräte. Deutschland zählt zu den drei am stärksten betroffenen Ländern. Die Schadsoftware nistet sich tief im System ein und ist für Nutzer kaum zu entfernen.

Infektion über die Lieferkette: Die unsichtbare Gefahr

Die besondere Tücke von Keenadu liegt in ihrem Infektionsweg. Anders als herkömmliche Malware wird sie direkt in die Firmware von Smartphones eingeschleust – noch bevor die Geräte in den Handel kommen. Dieser sogenannte Supply-Chain-Angriff erfolgt vermutlich während der Software-Entwicklung. Konkret versteckt sich der Schadcode in der Systembibliothek libandroid_runtime.so. Da die Dateien gültige Herstellersignaturen tragen, bleibt die Manipulation oft lange unentdeckt.

Vollzugriff auf das Smartphone

Einmal aktiv, agiert Keenadu als hochentwickelte Backdoor. Sie nistet sich im Zygote-Prozess von Android ein, dem Ur-Prozess für alle Apps. Dadurch kann sie jede Anwendung manipulieren. Angreifer erlangen so die vollständige Kontrolle. Sie installieren unbemerkt weitere Apps, erteilen Berechtigungen und greifen sensible Daten ab. Selbst Suchanfragen im Inkognito-Modus von Chrome können überwacht werden.

Neben der vorinstallierten Firmware nutzt die Malware weitere Wege. Sicherheitsforscher fanden sie in System-Apps und sogar im offiziellen Google Play Store. Besonders perfide: Infizierte Apps zur Steuerung von Smart-Home-Kameras wurden über 300.000 Mal heruntergeladen, bevor Google sie löschte.

Hauptziel Werbebetrug – mit einer auffälligen Ausnahme

Trotz ihres enormen Spionage-Potenzials setzen die Angreifer Keenadu derzeit hauptsächlich für Werbebetrug ein. Infizierte Geräte öffnen im Hintergrund unsichtbare Browser-Tabs, um Klicks auf Werbung zu generieren. Technisch weist die Malware Ähnlichkeiten zur bekannten Triada-Schadsoftware auf.

Ein auffälliges Merkmal: Keenadu bleibt inaktiv, wenn die Gerätesprache auf einen chinesischen Dialekt und die Zeitzone auf China eingestellt ist. Diese Taktik nutzen Angreifer oft, um Strafverfolgung im eigenen Land zu vermeiden.

Wer sich vor tief eingebetteten Smartphone-Bedrohungen wie Keenadu schützen möchte, sollte über Einzelmaßnahmen hinausdenken. Ein kostenloses E‑Book zu aktuellen Cyber-Security-Trends erklärt, welche Angriffswege heute besonders gefährlich sind und welche praktischen Schritte Unternehmen und Nutzer sofort umsetzen können, um Risiken zu minimieren. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Wie können sich Nutzer schützen?

Der Schutz vor vorinstallierter Malware ist schwierig. Herkömmliche Vorsichtsmaßnahmen greifen hier nicht. Experten raten zu folgenden Schritten:

• Beim Kauf wachsam sein: Bevorzugen Sie renommierte Hersteller mit strengen Sicherheitskontrollen.
• Google Play Protect aktivieren: Der Dienst soll vor bekannten Keenadu-Versionen schützen.
• Sicherheits-App nutzen: Eine Antiviren-Lösung kann Infektionen erkennen – die Entfernung bleibt aber komplex.
• Updates installieren: Halten Sie die Gerätesoftware aktuell. Hersteller könnten Patches zum Entfernen der Malware bereitstellen.
• Verdächtige Apps deaktivieren: Falls eine System-App als infiziert erkannt wird, sollte sie deaktiviert werden.

Der Vorfall zeigt die wachsende Gefahr durch Supply-Chain-Angriffe. Die Hersteller sind gefordert, ihre Produktionsprozesse rigoros zu überprüfen, um das Vertrauen der Nutzer zu erhalten.