Keenadu: Android-Backdoor infiziert Tablet-Firmware weltweit

Ein neuartiger Android-Backdoor namens Keenadu hat sich tief in die Firmware von Tablets verschiedener Hersteller eingeschlichen. Das gaben Cybersicherheitsforscher von Kaspersky am 17. Februar 2026 bekannt. Die Schadsoftware gelangte vermutlich über einen Lieferkettenangriff auf die Geräte, noch bevor sie die Kunden erreichten. Angreifer erhalten so potenziell die vollständige Fernsteuerung über infizierte Geräte.

Die Untersuchung zeigt: Keenadu kann sich in jede auf dem Gerät gestartete App einschleusen und so die zentrale Sicherheitsarchitektur von Android umgehen. Das ermöglicht das Abgreifen von Daten, die Manipulation von Websuchen und betrügerische Werbeklicks – alles unbemerkt vom Nutzer. Telemetriedaten deuten auf über 13.715 betroffene Nutzer weltweit hin. Schwerpunkte der Infektionen liegen in Russland, Japan, Deutschland, Brasilien und den Niederlanden. Der Fund unterstreicht die wachsende Bedrohung durch Schwachstellen in der Lieferkette, die Hardware bereits an der Quelle kompromittieren können.

So funktioniert die tief verwurzelte Bedrohung

Anders als typische Schadsoftware, die Nutzer zum Installieren einer bösartigen App trickst, operiert Keenadu auf einer viel tieferen Ebene. Die Angreifer kompromittierten eine zentrale Android-Systembibliothek namens libandroid_runtime.so. Diese ist für grundlegende Betriebssystemfunktionen unverzichtbar. Durch das Einbetten von Schadcode in diese Bibliothek wird die Hintertür bereits während des Boot-Vorgangs des Geräts geladen.

Einmal aktiv, injiziert sich Keenadu in den Zygote-Prozess. In Android ist Zygote der Elternprozess, aus dem alle anderen Anwendungen gestartet werden. Diese strategische Infiltration bedeutet: Eine Kopie des Backdoors landet im Arbeitsspeicher jeder einzelnen App, die der Nutzer öffnet – von Messengern und Banking-Apps bis zu sozialen Medien und Browsern. Diese Methode macht Androids App-Sandboxing, ein zentrales Sicherheitsfeature zur Isolierung von Apps, gegen diese Bedrohung wirkungslos. Die Schöpfer der Malware bewiesen ein tiefes Verständnis der Android-Architektur.

Lieferkettenangriff mit globaler Reichweite

Der primäre Infektionsweg für Keenadu scheint ein Supply-Chain-Angriff zu sein. Der bösartige Code wurde demnach während der Erstellungsphase der Firmware eingeschleust, lange bevor das Endprodukt zusammengebaut und ausgeliefert wurde. Folglich könnten die Gerätehersteller nichts von der Kompromittierung ihrer Produkte gewusst haben, bevor diese in den Handel kamen. In einigen dokumentierten Fällen wurde die kompromittierte Firmware Nutzern sogar über offizielle Over-The-Air (OTA)-Sicherheitsupdates geliefert – getarnt als legitimer Patch.

Kaspersky hat die betroffenen Hersteller informiert, deren Namen aber größtenteils nicht öffentlich gemacht. Die Untersuchung verknüpft den Keenadu-Backdoor jedoch explizit mit Firmware auf dem Alldocube iPlay 50 mini Pro-Tablet. Infizierte Firmware-Versionen reichen bis August 2023 zurück. Auch spätere Firmware-Updates für das Gerät waren betroffen. Die Verbreitung über mehrere Marken hinweg deutet auf einen schwerwiegenden Vorfall an einem gemeinsamen Punkt in der Gerätefertigung und Software-Lieferkette hin.

Von Betrug bis Kontrolle: Die bösartigen Module

Keenadu ist ein mehrstufiger Loader. Seine erste Aufgabe ist es, Fuß zu fassen und dann weitere bösartige Module nach den Zielen der Angreifer nachzuladen. Dieses modulare Design verleiht ihm große Flexibilität. Forscher konnten mehrere Payloads abfangen, die ein breites Spektrum schädlicher Aktivitäten offenbarten. Dazu gehören Module, die die Suchmaschine des Browsers kapern und Nutzer auf andere Seiten umleiten, sowie solche, die heimlich mit Online-Werbung interagieren, um finanziellen Gewinn zu erzielen.

Neben der Firmware wurden Keenadu-Komponenten auch in eigenständigen Apps entdeckt. Einige fanden sich in Anwendungen aus offiziellen Stores wie Google Play und Xiaomis GetApps-Store sowie in verschiedenen Drittanbieter-Repositories. In einem Fall enthielten bösartige Apps mit über 300.000 Installationen bei Google Play einen Keenadu-Loader, der einen unsichtbaren Webbrowser startete, um im Hintergrund Werbebetrug zu begehen. Google hat die identifizierten Apps inzwischen entfernt.

Systemisches Risiko für das Android-Ökosystem

Das Auftauchen von Keenadu unterstreicht einen gefährlichen Trend in der Mobilgerätesicherheit: die gezielte Attacke auf die Lieferkette. Firmware-Backdoors sind deutlich gefährlicher als nutzerinstallierte Malware, weil sie persistent sind und nicht durch Standardmethoden wie das Deinstallieren einer App oder einen Werksreset entfernt werden können. Der Nutzer ist einer Bedrohung oft machtlos ausgeliefert, die in sein Gerät eingebaut wurde.

Zudem zeigte die Kaspersky-Untersuchung operative Verbindungen und Code-Ähnlichkeiten zwischen Keenadu und anderen großen Android-Botnetz-Familien wie Triada, BadBox und Vo1d. Das deutet auf eine gewisse Zusammenarbeit oder gemeinsame Infrastruktur verschiedener Cyberkrimineller hin, was die Zuordnung und Abwehr erschwert. Die Fähigkeit dieser Gruppen, Geräte auf Herstellerebene zu kompromittieren, stellt ein systemisches Risiko für das gesamte Android-Ökosystem dar – besonders im Markt für kostengünstigere Geräte, wo die Überwachung der Lieferkette oft lascher ist.

Lieferkettenangriffe wie Keenadu zeigen, wie schnell Geräte schon ab Werk kompromittiert werden können. Ein kostenloses E‑Book erklärt aktuelle Cyber-Security-Trends, typische Angriffswege (inkl. Supply-Chain-Angriffe) und leicht umsetzbare Schutzmaßnahmen für Privatnutzer und kleine Unternehmen. Holen Sie sich konkrete Checklisten und praxisnahe Handlungsempfehlungen, um Firmware‑ und Phishing‑Risiken zu reduzieren. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Was Nutzer jetzt tun können

Für Besitzer infizierter Geräte ist die Bereinigung schwierig. Da die Hintertür Teil der Kern-Firmware ist, kann sie nicht einfach entfernt werden. Die Hauptempfehlung für betroffene Nutzer lautet: Achten Sie auf offizielle Software-Updates Ihres Geräteherstellers. Kaspersky hat die kompromittierten Hersteller alarmiert. Die Verantwortung liegt nun bei ihnen, eine bereinigte, gepatchte Firmware für ihre Kunden zu entwickeln und zu verteilen. Nutzer von Geräten weniger bekannter Marken sollten besonders vorsichtig sein.

Dieser Vorfall erhöht den Druck auf Gerätehersteller, ihre gesamte Lieferkette abzusichern – von Code-Bibliotheken Dritter bis zu den Partnern, die ihre Firmware bauen. Für Verbraucher ist es eine deutliche Erinnerung: Die Sicherheit eines Geräts hängt nicht nur von sicheren Surfgewohnheiten ab, sondern auch von der Integrität seiner Hardware und grundlegenden Software von dem Moment an, in dem es das Werk verlässt.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.