Kaspersky entdeckt Trojaner in Android-Firmware

Tausende Android-Geräte verlassen die Fabrik bereits mit einem tief im System verankerten Trojaner. Das enthüllt eine aktuelle Analyse des Sicherheitsunternehmens Kaspersky. Die Malware mit dem Namen „Keenadu“ ist fest in der Firmware verankert – noch bevor der Nutzer das Gerät zum ersten Mal einschaltet.

Was „Keenadu“ so gefährlich macht

Die Sicherheitsforscher veröffentlichten ihre detaillierte Analyse am Dienstag. Der Schadcode nistet sich nicht im Nutzerspeicher, sondern in kritischen Systembibliotheken ein. Konkret manipuliert die Malware die Datei libandroid_runtime.so, eine zentrale Komponente von Android.

Das hat fatale Folgen: Der schädliche Code wird bei jedem Gerätestart automatisch geladen. Über 13.000 infizierte Geräte wurden bereits identifiziert, darunter auch in Deutschland. Die digitale Signatur der Firmware-Dateien deutet darauf hin, dass die Manipulation direkt in der Produktion oder bei einem Zulieferer stattfand.

Nahezu uneingeschränkte Kontrolle für Angreifer

Die technische Raffinesse ist beunruhigend. „Keenadu“ schleust sich in den „Zygote“-Prozess ein, den Elternprozess für alle Android-Apps. Damit wird die Malware automatisch Teil jeder gestarteten Anwendung – von der Taschenlampe bis zur Banking-App.

Diese tiefe Integration ermöglicht den Angreifern:
* Das Abfangen von SMS-Nachrichten
* Die heimliche Installation weiterer Apps
* Die Extraktion sensibler Nutzerdaten

Die aktuelle Kampagne zielt laut Analyse primär auf Anzeigenbetrug ab. Analysten warnen jedoch vor dem potenziellen Missbrauch für gezielte Spionage.

Betroffene Geräte: Das Problem der Lieferkette

Es handelt sich um einen klassischen Supply-Chain-Angriff. Kriminelle kompromittieren nicht das Endgerät, sondern einen Schritt in der Herstellungs- oder Distributionskette. Betroffen sind vor allem preisgünstige Tablets und Smartphones.

Konkret genannt wird im Bericht etwa das „iPlay 50 mini Pro“ des Herstellers Alldocube. Im Sektor der Budget-Geräte greifen viele Hersteller auf kostengünstige Firmware-Pakete von Drittanbietern zurück. Wird einer dieser Anbieter kompromittiert, landet der Schadcode auf Tausenden Geräten verschiedener Marken.

Warum herkömmliche Lösungen versagen

Für betroffene Nutzer ist die Situation ernst. Da der Trojaner Teil des Betriebssystems ist, hilft ein Zurücksetzen auf Werkseinstellungen nicht – die Malware installiert sich bei jedem Neustart neu.

Google betonte, sein Schutzmechanismus „Play Protect“ könne bekannte Versionen der Malware erkennen. Bei vielen betroffenen No-Name-Importgeräten fehlt diese offizielle Zertifizierung jedoch oft oder wird vorgetäuscht.

Experten raten betroffenen Nutzern:
* Das Gerät nicht mehr für Banking oder sensible Kommunikation zu nutzen.
* Als sicherste Lösung ein Modell eines etablierten Herstellers in Betracht zu ziehen.
* Für Technikversierte: Eine saubere, verifizierte Firmware manuell neu aufzuspielen.

Wer sein Smartphone vor tief verankerten Firmware‑Angriffen wie „Keenadu“ schützen möchte, findet hilfreiche Praxis-Tipps im kostenlosen E‑Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt aktuelle Bedrohungen, zeigt konkrete Schutzmaßnahmen für Nutzer und Unternehmen und liefert sofort umsetzbare Checklisten, mit denen Sie Risiken reduzieren können. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Der Fall „Keenadu“ zeigt die anhaltende Verwundbarkeit globaler Lieferketten – besonders im Markt für günstige Elektronik. Die Empfehlung lautet klar: Beim Kauf auf etablierte Marken und offizielle Vertriebswege setzen.