Android-Backdoor Keenadu infiziert Tausende Tablets ab Werk

Ein neuer Schädling in der Firmware von Billig-Tablets gewährt Angreifern vollen Fernzugriff – und ist durch einen Werksreset nicht zu entfernen. Die Entdeckung unterstreicht eine gefährliche Schwachstelle in der globalen Hardware-Lieferkette.

Systemnaher Schädling macht Sandbox wirkungslos

Mitte Februar 2026 haben Cybersicherheitsforscher von Kaspersky einen hochgradig raffinierten Angriff aufgedeckt. Der neu identifizierte Android-Backdoor „Keenadu“ wurde tief in der Firmware verschiedener Android-Tablets mehrerer Hersteller eingebettet. Die Malware gewährt Bedrohungsakteuren uneingeschränkten Fernzugriff, sobald das Gerät erstmals eingeschaltet wird.

Im Gegensatz zu traditioneller Schadsoftware, die eine Interaktion des Nutzers zur Installation benötigt, operiert Keenadu auf der fundamentalen Ebene des Betriebssystems. Der bösartige Code wird während des Herstellungs- und Firmware-Erstellungsprozesses injiziert. Dadurch umgeht er die standardmäßige Sicherheits-Sandbox und kann auch durch einen einfachen Werksreset nicht entfernt werden. Telemetriedaten deuten auf Tausende infizierter Geräte weltweit hin.

Kompromittierte Firmware mit gültiger Signatur

Die Infiltration erfolgt während der Firmware-Kompilierung, lange bevor die Geräte verpackt und ausgeliefert werden. Angreifer schleusten erfolgreich eine bösartige statische Bibliothek ein, die sich direkt mit einer kritischen Android-Shared-Library namens „libandroid_runtime.so“ verknüpft.

Sobald ein infiziertes Gerät aktiviert wird, injiziert sich die Malware automatisch in den „Zygote“-Prozess. Da Zygote der Elternprozess für alle Android-Anwendungen ist, kann sich Keenadu so in den Adressraum jeder gestarteten App kopieren. Das macht die sandboxing-Schutzmechanismen von Android wirkungslos und verleiht der Malware höchste Systemprivilegien.

Besonders alarmierend: Die kompromittierten Firmware-Dateien trugen gültige digitale Signaturen. Das deutet darauf hin, dass die Gerätehersteller wahrscheinlich nichts von der bösartigen Abhängigkeit in ihrem Quellcode wussten. In mehreren dokumentierten Fällen wurde die Hintertür nicht nur ab Werk ausgeliefert, sondern auch über offizielle Funk-Updates an bestehende Nutzer verteilt. Eine vollständige Entfernung erfordert das komplette Neuflashen der Firmware – ein technischer Vorgang, der für den Durchschnittsnutzer kaum zu bewältigen ist.

Globale Verbreitung und getarnte Aktivität

Das Ausmaß der Keenadu-Infektion ist beträchtlich. Laut dem Bericht vom Februar 2026 sind weltweit über 13.000 Geräte als infiziert bestätigt, die tatsächliche Zahl dürfte jedoch deutlich höher liegen. Schwerpunkte betroffener Nutzer wurden in Russland, Japan, Deutschland, Brasilien und den Niederlanden registriert.

Nicht alle betroffenen Hersteller wurden öffentlich genannt, jedoch identifizierten Forscher speziell Firmware-Images für Alldocube-Tablets wie das „iPlay 50 mini Pro“ als Träger der Hintertür. Der bösartige Code lässt sich bis zu Firmware-Builds aus dem August 2023 zurückverfolgen – die Angreifer operierten also seit Jahren unentdeckt.

Zur Tarnung bleibt die Malware nach der Erstaktivierung des Geräts ganze zweieinhalb Monate völlig inaktiv. Diese lange Inkubationszeit soll Qualitätstests der Hersteller und frühe Sicherheitsscans der Nutzer umgehen. Erst danach nimmt die Hintertür Kontakt mit ihrer Command-and-Control-Infrastruktur auf, um aktive Schadmodule nachzuladen.

Vom Werbebetrug zum potenziellen Datenklau

Nach der Inkubationszeit fungiert Keenadu als vielseitiger Mehrstufen-Loader. Die Malware lädt verschlüsselte Module von Servern herunter, die auf Amazon Web Services gehostet werden. Derzeit zielt die Kampagne vor allem auf groß angelegten Werbebetrug und unbefugte Monetarisierung ab.

Abgefangene Module sind darauf ausgelegt, Browser-Suchmaschineneinstellungen zu kapern, Nutzeranfragen in Google Chrome zu überwachen und mit Werbeelementen in unsichtbaren Containern zu interagieren. Zudem wurden unerwünschte Apps im Rahmen von Pay-per-Install-Schemata installiert, um illegale Einnahmen für die Betreiber zu generieren.

Neben dem Firmware-Vektor fanden Forscher Keenadu-Varianten auch in scheinbar legitimen Apps auf Drittanbieter-Plattformen und offiziellem Google Play. Einige trojanisierte Smart-Camera-Apps mit der Malware wurden über 300.000 Mal heruntergeladen, bevor sie entfernt wurden.

Cybersicherheitsanalysten sehen starke Verbindungen zwischen Keenadu und anderen großen Android-Botnets wie Triada, Vo1d und BADBOX, die für die Ausbeutung von Billiggeräten bekannt sind. Die architektonischen Ähnlichkeiten deuten auf koordinierte Akteure mit tiefem Verständnis der Android-Sicherheitsprinzipien hin.

Herausforderung für Verbraucher und Unternehmen

Die Entdeckung markiert eine kritische Verschiebung der mobilen Bedrohungslandschaft: weg von nutzerinitiierten App-Downloads hin zu systemischen Lieferketten-Kompromittierungen. Wenn Malware direkt in kritische Systemdienste integriert ist, haben traditionelle Endpoint-Detection-Tools oft Schwierigkeiten, die Bedrohung zu identifizieren.

Zwar bieten Play-Protect-zertifizierte Geräte automatischen Schutz vor bekannten Versionen dieser Malware. Doch viele preisgünstige, außerhalb strenger Zertifizierungsprozesse hergestellte Geräte fallen durch dieses Raster. Das lässt einen großen Teil der globalen Nutzerbasis verwundbar für „Out-of-the-Box“-Angriffe.

Sicherheitsexperten warnen: Firmware-Bedrohungen wie Keenadu können ein einziges kompromittiertes Consumer-Tablet zu einem unternehmensweiten Datenexpositionsrisiko machen – besonders in Remote-Work-Umgebungen, in denen private Geräte häufig mit Firmennetzwerken verbunden sind.

Für Verbraucher und Unternehmen ist die Existenz vorinstallierter Hintertüren eine deutliche Warnung vor den Risiken unzertifizierter No-Name-Elektronik. Sicherheitsprofis raten dringend, auf die offizielle Play-Protect-Zertifizierung von Android-Geräten zu achten und bei Billig-Hardware, die Kosteneinsparung über grundlegende Lieferkettensicherheit stellen könnte, besondere Vorsicht walten zu lassen.

Wer sich vor solchen systemischen Angriffen und anderen aktuellen Cyber-Bedrohungen schützen möchte, findet praktische Sofortmaßnahmen in einem kostenlosen E‑Book: Der Report fasst die neuesten Angriffsmuster zusammen und zeigt konkrete Schutzmaßnahmen für Unternehmen und Privatnutzer – auch mit kleinem Budget umsetzbar. Kostenloses Cyber-Security-E-Book herunterladen

Appell an Hersteller und Nutzer

Die Forscher rechnen damit, dass die Fähigkeiten von Keenadu weiterentwickelt werden. Während die aktuellen Schadmodule auf Werbebetrug abzielen, könnte der uneingeschränkte Fernzugriff leicht für Modul zum Diebstahl von Zugangsdaten, Banking-Betrug oder Ransomware genutzt werden. Der historische Verlauf des Triada-Botnets zeigt eine ähnliche Entwicklung von anfänglichem Ad-Fraud hin zu aggressivem Datenabfluss.

Als Konsequenz drängen Sicherheitsorganisationen Hardware-Hersteller dazu, deutlich strengere Integritätskontrollen und Code-Audits in ihren Lieferketten zu implementieren. Die Überprüfung von Drittanbieter-Abhängigkeiten vor der Firmware-Kompilierung gilt nun als essenzielle Herstellungspraxis.

Für Verbraucher und Unternehmen ist die Existenz vorinstallierter Hintertüren eine deutliche Warnung vor den Risiken unzertifizierter No-Name-Elektronik. Sicherheitsprofis raten dringend, auf die offizielle Play-Protect-Zertifizierung von Android-Geräten zu achten und bei Billig-Hardware, die Kosteneinsparung über grundlegende Lieferkettensicherheit stellen könnte, besondere Vorsicht walten zu lassen.