Alldocube-Geräte: Schadsoftware Keenadu steckt in der Firmware

Sicherheitsforscher warnen vor tief in Android-Firmware eingebetteter Malware. Die als Keenadu bekannte Schadsoftware infiziert Gere bereits in der Fabrik und bietet Angreifern volle Kontrolle. Besonders betroffen sind günstige Tablets wie das Alldocube iPlay 50 mini Pro, die auch in Deutschland verkauft werden.

Die Analyse des Sicherheitsunternehmens Kaspersky zeigt ein beunruhigendes Bild. Keenadu manipuliert die Systembibliothek libandroid_runtime.so und nistet sich so tief im Betriebssystem ein. Die Infektion erfolgt während der Herstellung, noch bevor das Gerät verpackt wird.

Durch diese Integration kann sich der Schadcode in jeden geöffneten Prozess einschleusen. Das verleiht den Hintermännern Rechte, die normale Sicherheitsmechanismen umgehen. Betroffen sind spezifische Firmware-Versionen des Alldocube iPlay 50 mini Pro. Experten vermuten, dass auch andere No-Name-Marken infiziert sein könnten.

Was die Schadsoftware anrichtet

Keenadu agiert primär als Loader, der weitere schädliche Module nachladen kann. Die Malware ist in der Lage:
* Apps heimlich zu installieren
* SMS-Nachrichten abzufangen
* Browser-Suchanfragen zu manipulieren

Die Hauptmotivation liegt aktuell im Werbebetrug, etwa durch simulierte Klicks auf Werbebanner. Das Risiko ist jedoch weit höher: Theoretisch könnten auch Banking-Daten oder Zwei-Faktor-Authentifizierungscodes gestohlen werden. Die Infektion beeinträchtigt zudem Akkulaufzeit und Systemleistung.

Ein globales Problem mit Fokus auf Deutschland

Mehr als 13.000 aktiv infizierte Geräte wurden bis Mitte Februar identifiziert. Zu den Hauptzielregionen gehören neben Russland und Brasilien auch Japan und Deutschland.

Die Geräte werden oft über internationale Online-Marktplätze vertrieben und entziehen sich so strengeren EU-Kontrollen. Ihr niedriger Preis wird für viele Käufer zum Verhängnis ? er wird offenbar mit ihren persönlichen Daten ?subventioniert?.

Warum ein Factory Reset nicht hilft

Der Fall Keenadu ist kein Einzelfall. Er reiht sich ein in Vorfälle wie Triada oder Guerrilla und offenbart ein systemisches Problem in undurchsichtigen Fertigungsketten kleiner Marken.

Für Nutzer ist es ein Worst-Case-Szenario: Da die Malware Teil der Systempartition ist, bleibt sie selbst nach einem Zurücksetzen auf die Werkseinstellungen erhalten. Sie installiert sich bei jedem Neustart automatisch neu.

Was Verbraucher jetzt tun können

Die Sicherheitscommunity wartet auf Reaktionen der Hersteller. Ob ein reines Software-Update diese tiefe Infektion bereinigen kann, ist unklar. Experten raten zu erhöhter Vorsicht:

• Auf etablierte Marken setzen: Geräte von Herstellern mit transparenter Update-Politik minimieren das Risiko von Lieferkettenangriffen.
• Auf Warnsignale achten: Ungewöhnlich hoher Datenverbrauch, plötzlich erscheinende Werbung oder selbstständig installierende Apps sind Alarmsignale.
• Sicherheitssoftware nutzen: Hochwertige Security-Apps können nachgeladene Schadmodule oft erkennen und den Schaden begrenzen.

Wenn Malware schon bis in die Firmware gelangt, helfen oft nur gezielte Schutzmaßnahmen. Ein kostenloses E-Book erklärt aktuelle Cyber?Gefahren, praktische Schutzschritte und welche Maßnahmen Sie sofort umsetzen können ? von App?Hygiene bis zu Netzwerkeinstellungen für Zuhause und kleine Firmen. Jetzt kostenloses Cyber?Security?E?Book herunterladen

Die aktuellen Enthüllungen unterstreichen die Dringlichkeit für schärfere EU-Importkontrollen. Verbraucher müssen besser vor Hardware geschützt werden, die bereits infiziert aus der Verpackung kommt.