Keenadu-Malware infiziert Android-Geräte ab Werk

Eine neue Schadsoftware namens Keenadu nistet sich tief in der Firmware von Android-Geräten ein. Tausende Nutzer weltweit sind betroffen – auch in Deutschland.

Das berichten Cybersicherheitsforscher des Unternehmens Kaspersky. Die Malware wird bei der Herstellung in die Geräte eingeschleust und gewährt Angreifern nahezu uneingeschränkte Fernkontrolle. Etwa 13.000 Geräte sind laut dem aktuellen Bericht bereits infiziert, mit Schwerpunkten in Russland, Japan, Deutschland, Brasilien und den Niederlanden.

Angriff direkt aus der Lieferkette

Das Besondere an Keenadu ist seine Verbreitungsmethode: Es handelt sich um einen Supply-Chain-Angriff. Die Schadsoftware wurde bereits während des Build-Prozesses der Firmware eingefügt. Betroffene Geräte sind somit schon ab Werk infiziert. In anderen Fällen gelangte die kompromittierte Firmware über scheinbar legitime Over-the-Air-Updates (OTA) auf die Smartphones.

„Die Malware ist tief in den Kern des Android-Betriebssystems integriert“, erklärt ein Sicherheitsexperte. „Das macht die Erkennung und Entfernung außerordentlich schwierig.“ Betroffen sind Geräte mehrerer Hersteller, darunter das Tablet „iPlay 50 mini Pro“ von Alldocube. Infizierte Firmware-Versionen lassen sich bis August 2023 zurückverfolgen.

Vom Ad-Betrug zur Allmacht

Aktuell nutzen die Angreifer Keenadu vor allem für finanziellen Gewinn durch Ad-Fraud. Die Malware kann Payloads nachladen, die Browser-Suchen manipulieren, heimlich Werbung anklicken und App-Installationen vortäuschen. Gefundene Module zielen auf große E-Commerce-Plattformen wie Amazon, Shein und Temu ab.

Die eigentliche Gefahr liegt jedoch in den nahezu unbegrenzten Möglichkeiten. Keenadu ist eine voll funktionsfähige Hintertür. Angreifer können jede App installieren, jede Berechtigung erteilen und auf alle Informationen zugreifen – inklusive privater Nachrichten und Banking-Daten. Die Malware agiert mit erhöhten Rechten und installiert Apps, ohne den Nutzer zu warnen.

Die Tiefe solcher Firmware‑Angriffe zeigt, wie dringend effektive Schutzmaßnahmen nötig sind. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Bedrohungen (inkl. Mobil‑ und Lieferketten‑Risiken) und liefert praxisnahe Schritte, mit denen Sie Systeme und Nutzer besser absichern können. Jetzt kostenloses E‑Book herunterladen

Ein auffälliges Detail: Keenadu deaktiviert sich automatisch, wenn Sprache oder Zeitzone des Geräts auf Chinesisch eingestellt sind. Diese Taktik nutzen Angreifer häufig, um Strafverfolgung im Heimatland zu umgehen.

Verbreitung auch über offiziellen Store

Die Bedrohung beschränkt sich nicht auf die Firmware. Forscher fanden Keenadu auch in nachträglich installierten Apps. Die Malware versteckte sich in System-Apps für Gesichtserkennung und in trojanisierten Anwendungen – teils sogar im offiziellen Google Play Store.

Kaspersky meldete mehrere Smart-Home-Kamera-Apps an Google, die Keenadu-Module enthielten. Diese Apps wurden zwischenzeitlich über 300.000 Mal heruntergeladen, bevor sie entfernt wurden. Diese mehrgleisige Verbreitungsstrategie zeigt die Entschlossenheit der Angreifer.

Hersteller in der Pflicht

Der Fall Keenadu unterstreicht die wachsende Gefahr durch Supply-Chain-Angriffe. Cyberkriminelle kompromittieren das Produkt an der Quelle, anstatt den Endnutzer direkt anzugreifen. Infizierte Firmware ist persistent und hat höchste Privilegien. Herkömmliche Sicherheits-Apps sind hier oft machtlos.

Vor allem Geräte von kleineren oder weniger etablierten Herstellern bergen Risiken. Deren Lieferketten unterliegen oft weniger strengen Sicherheitskontrollen. Sicherheitsupdates von Google und den Herstellern können nur wirken, wenn die zugrundeliegende Firmware nicht bereits kompromittiert ist.

Für Verbraucher gilt: Geräte sollten von vertrauenswürdigen Herstellern mit gutem Sicherheits-Ruf gekauft werden. Ungewöhnlich günstige Angebote unbekannter Marken sind mit Vorsicht zu genießen. Auch im offiziellen App Store ist Wachsamkeit geboten. Der Kampf gegen Mobile Malware hat eine neue Front erreicht: die Lieferkette selbst.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.