Alldocube-Tablets: Backdoor Keenadu in Android-System entdeckt

Sicherheitsforscher haben eine tief verankerte Backdoor in preiswerten Android-Tablets gefunden. Die als Keenadu bekannte Malware ist ab Werk vorinstalliert und gewrt Angreifern volle Kontrolle. Deutschland gehört zu den fünf am stärksten betroffenen Ländern.

Die Sicherheitsfirma Kaspersky veröffentlichte heute einen Bericht über den Fund. Die Schadsoftware steckt nicht in einer App, sondern ist direkt in die Systembibliothek libandroid_runtime.so integriert. Diese wird von jeder Anwendung beim Start geladen.

Diese Platzierung macht die Entfernung für Nutzer praktisch unmöglich. Da die Malware in der schreibgeschützten Systempartition liegt, hilft selbst ein Werkreset nicht ? der Schädling kehrt bei jedem Neustart zurück.

Deutschland unter den Top-5 der Infektionen

Die Verbreitung von Keenadu zeigt ein ungewöhnliches Muster. Bisher wurden über 13.000 infizierte Geräte bestätigt. Die fünf Länder mit den höchsten Infektionsraten sind:
* Russland
* Japan
* Deutschland
* Brasilien
* Niederlande

Die starke Präsenz in Westeuropa deutet darauf hin, dass die betroffenen Geräte massenhaft über Online-Marktplätze verkauft wurden. Es handelt sich oft um günstige Import- oder White-Label-Produkte.

So funktioniert die perfide Backdoor

Beim Start injiziert sich die Malware in den ?Zygote?-Prozess, den Mutterprozess aller Android-Apps. Dadurch wird der Schadcode Teil jeder laufenden Anwendung ? vom Browser bis zur Banking-App.

Keenadu agiert primär als Loader. Sie wartet auf Befehle von einem Steuerungsserver und kann dann weitere schädliche Module nachladen. Diese können:
* Sensible Nutzerdaten ausspähen.
* Versteckte Werbeanzeigen schalten.
* Beliebig Apps installieren.
* Den gesamten Datenverkehr umleiten.

Wenn Schadsoftware direkt in der Systemsoftware sitzt, reichen einfache Schutzmaßnahmen oft nicht aus. Der kostenlose Experten?Report ?Cyber Security Awareness Trends? zeigt, welche praktischen Schutzmaßnahmen Unternehmen und Nutzer jetzt ergreifen sollten ? von Firmware?Prüfungen über Lieferketten?Risiken bis zu Erkennungsstrategien für komplexe Loader?Malware. Jetzt kostenloses Cyber?Security?E?Book herunterladen

Besonders alarmierend: Die manipulierten Firmware-Images waren digital signiert. Das legt den Verdacht nahe, dass die Kompromittierung bereits bei den Herstellern oder ihren Zulieferern stattfand.

Betroffene Geräte und träge Reaktion

Konkret identifiziert wurden Modelle des Herstellers Alldocube, wie das iPlay 50 mini Pro. Experten vermuten, dass auch andere Marken betroffen sein könnten, die auf dieselben Fertiger (ODMs) zurückgreifen.

Ein tiefgreifendes Problem zeigt sich in der Reaktion: Selbst nach den ersten Warnungen veröffentlichte Firmware-Updates enthielten teilweise weiterhin den Schadcode. Haben die Hersteller selbst keinen sauberen Quellcode mehr?

Das Risiko der Billig-Hardware

Der Fall Keenadu ist kein Einzelfall. Er reiht sich ein in Kampagnen wie ?Triada? oder ?Vo1d?, die ebenfalls Budget-Geräte ins Visier nahmen. Der Unterschied diesmal: die raffinierte Integration und die starke Präsenz in Europa.

Ist das der Preis für den aggressiven Preiskampf? Um extrem günstige Tablets anzubieten, setzen Marken auf komplexe, undurchsichtige Lieferketten. Kriminelle nutzen diese Schwachstellen gezielt aus.

Was können betroffene Nutzer tun?

Einfache Lösungen gibt es kaum. Antiviren-Apps können die Malware oft erkennen, aber nicht aus der Systempartition entfernen. Experten raten zu diesen Schritten:

1. Manuelle Prüfung: Das Gerät mit seriöser Sicherheitssoftware scannen.
2. Konsequenter Austausch: Bei bestätigtem Befall das Tablet nicht mehr für sensible Aktivitäten wie Online-Banking nutzen.
3. Updates prüfen: Herausfinden, ob der Hersteller ein verifiztes, sauberes Firmware-Update bereitstellt.

Die Entdeckung dürfte den Druck auf Importeure und Online-Plattformen erhöhen. Könnte Keenadu neue EU-Regeln zur Sicherheitsverantwortung von Hardware-Importeuren anschieben?

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.