Keenadu-Malware: Gefährlicher Schädling steckt in Android-Firmware

Ein neuer, tief in der Firmware versteckter Schädling namens Keenadu kompromittiert Android-Geräte, bevor sie überhaupt den Käufer erreichen – ein schwerwiegender Angriff auf die Lieferkette.

Eine gefährliche Android-Malware infiziert neue Smartphones und Tablets bereits ab Werk. Das sogenannte Keenadu-Malware-System agiert als Hintertür und gibt Angreifern die vollständige Kontrolle über die betroffenen Geräte. Die Entdeckung unterstreicht einen alarmierenden Trend: Immer mehr Schadsoftware wird während der Produktion oder des Vertriebs eingeschleust.

Sicherheitsforscher von Kaspersky veröffentlichten Mitte Februar 2026 eine Analyse. Demnach wurden bereits über 13.000 infizierte Geräte identifiziert. Die Infektionen sind global, mit Schwerpunkten in Russland, Japan, Deutschland, Brasilien und den Niederlanden. Da der Schädling in der Kern-Firmware sitzt, sind die Geräte bereits beim ersten Einschalten kompromittiert – eine extreme Gefahr für Daten und Privatsphäre der Nutzer.

Angesichts versteckter Gefahren wie Keenadu ist ein proaktiver Schutz Ihrer mobilen Daten wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Smartphone mit fünf praxistauglichen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So funktioniert die Keenadu-Bedrohung

Keenadu ist kein typischer Schädling, den man sich herunterlädt. Seine gefährlichste Variante ist direkt in die Firmware integriert, die grundlegende Software zur Steuerung der Hardware. Die Indizien deuten auf einen Kompromittierungsschritt in der Lieferkette hin. Der bösartige Code wurde wahrscheinlich ohne Wissen der Hersteller während der Entwicklung oder Fertigung eingeschleust.

Neben der Firmware-Integration nutzt Keenadu weitere Verbreitungswege. Er wurde in kritischen System-Apps gefunden, etwa in Gesichtserkennungsdiensten oder dem Startbildschirm. Teilweise wurde er auch über vertrauenswürdige Over-the-Air (OTA)-Updates verbreitet. Zudem kursierte er als trojanisierte App in verschiedenen Stores, auch im Google Play Store. Einige dieser Apps hatten über 300.000 Installationen, bevor sie entfernt wurden. Forscher sehen Verbindungen zu anderen großen Botnetzen wie Triada und BadBox – ein Hinweis auf ein gut etabliertes Cyberkriminellen-Ökosystem.

Eine Hintertür mit unbegrenztem Zugriff

Ist die Firmware-Variante aktiv, erhalten Angreifer umfangreiche und dauerhafte Kontrolle. Keenadu kann jede andere App auf dem Gerät infizieren, heimlich Software installieren und dieser alle erforderlichen Berechtigungen erteilen. Das gefährdet alle persönlichen und sensiblen Daten: Fotos, Nachrichten, Online-Banking-Zugänge und Standortdaten in Echtzeit.

Besorgniserregend: Die Malware kann sogar Aktivitäten im Chrome-Browser überwachen, einschließlich Suchanfragen im Inkognito-Modus. Obwohl Keenadu die Fähigkeiten eines Remote-Access-Trojans (RAT) zum Datendiebstahl besitzt, konzentrieren sich die Betreiber derzeit wohl auf Ad-Betrug. Sie kapern den Browser, um Anzeigen zu klicken, gefälschte App-Installationen zu generieren und Suchergebnisse zu manipulieren – alles für illegale Einnahmen.

Reaktion der Industrie: Google und Experten warnen

Google hat nach der Aufdeckung Gegenmaßnahmen ergriffen. Ein Unternehmenssprecher bestätigte, dass Apps mit Keenadu-Verhalten aus dem Play Store entfernt wurden. Der integrierte Dienst Google Play Protect wehre bekannte Versionen der Malware automatisch ab. Play Protect ist auf zertifizierten Android-Geräten standardmäßig aktiv und kann Nutzer warnen oder schädliche Apps deaktivieren – selbst wenn sie von außerhalb des Play Stores installiert wurden. Google betont, dass Nutzer auf ein "Play Protect certified"-Gerät achten sollten.

Trotzdem warnen Kaspersky-Experten: Bei in der Firmware eingebetteter Malware könne der Nutzer kaum etwas tun. Die betroffenen Gerätehersteller wurden benachrichtigt und arbeiten hoffentlich an sauberen Firmware-Updates, um die Schwachstelle zu schließen.

Ob Online-Banking oder WhatsApp – viele Android-Nutzer unterschätzen kritische Sicherheitslücken im digitalen Alltag. Sichern Sie Ihr Gerät jetzt ohne teure Zusatz-Apps mit unserem kompakten Leitfaden inklusive praktischer Checklisten ab. Kostenloses Android-Sicherheitspaket anfordern

Die wachsende Gefahr durch Lieferketten-Angriffe

Der Keenadu-Vorfall zeigt deutlich: Mobilgerätesicherheit dreht sich nicht mehr nur um verdächtige Apps. Die Bedrohung hat sich auf die Integrität der Hardware- und Software-Lieferkette selbst verlagert. Das Einbetten von Malware während der Produktion ist besonders tückisch, weil es traditionelle Sicherheitsmaßnahmen umgeht und das Vertrauen der Verbraucher in ein neues Produkt ausnutzt. Das Problem scheint bei günstigen, unbranded Geräten verbreiteter zu sein, wo die Kontrolle in der Fertigung weniger streng ist.

Die Raffinesse von Android-Bedrohung entwickelt sich rasant. Parallel identifizierten ESET-Forscher diese Woche "PromptSpy", die erste bekannte Android-Malware, die generative KI zur Laufzeit nutzt. PromptSpy verwendet Googles Gemini-Modell, um sein Schadverhalten an verschiedene Geräte anzupassen – ein Beispiel dafür, wie Angreifer Innovation nutzen, um das fragmentierte Android-Ökosystem zu überwinden.

Wie können sich Verbraucher schützen?

Die wichtigste Verteidigung gegen vorinstallierte Malware ist Wachsamkeit beim Kauf. Entscheidend ist, bei bekannten, vertrauenswürdigen Herstellern mit guter Sicherheitsbilanz und zeitnahen Updates zu bleiben. Vor dem Kauf können Nutzer die Liste der Play-Protect-zertifizierten Partner bei Google prüfen.

Für Besitzer eines möglicherweise kompromittierten Geräts sind die Optionen begrenzt. Technisch versierte Nutzer könnten eine saubere Firmware von einer seriösen Drittquelle installieren, was jedoch das Risiko einer Beschädigung birgt. In vielen Fällen ist die sicherste Maßnahme, das Gerät komplett nicht mehr zu nutzen. Dieser Vorfall unterstreicht den dringenden Bedarf an mehr Transparenz und Sicherheitsaudits in der globalen Elektronik-Lieferkette.