Kaspersky warnt vor Backdoor-Angriff:
Android-Geräte ab Werk infiziert
Eine neue Android-Malware namens Keenadu nistet sich direkt in der Firmware von Tablets ein. Unbemerkt übernehmen Angreifer die Kontrolle, selbst im Google Play Store taucht der Schadcode auf. Die Entfernung ist für Laien fast unmöglich.
Technisch nistet sich Keenadu in der Systembibliothek libandroid_runtime.so ein. Dadurch erlangen Angreifer Kontrolle über den Zygote-Prozess, der als Vorlage für alle startenden Android-Anwendungen dient. Der Schadcode wird so in jede App injiziert und hebelt das Sandbox-Prinzip von Android weitgehend aus.
Die Analyse von Kaspersky zeigt, dass bis Februar 2026 mehr als 13.000 infizierte Geräte registriert wurden. Die Telemetriedaten weisen auf eine weltweite Verbreitung mit Schwerpunkten in Russland, Japan, Deutschland, Brasilien und den Niederlanden hin. Die Forscher fanden den Schadcode nicht nur in der Firmware, sondern auch in scheinbar legitimen Systemanwendungen wie Tools zur Gesichtserkennung oder in Launchern der Benutzeroberfläche.
Die Angreifer nutzten neben der Vorinstallation ab Werk auch App-Plattformen zur Verbreitung. Im offiziellen Google Play Store wurden Apps entdeckt, die Keenadu-Code enthielten, darunter Anwendungen zur Steuerung von Smart-Home-Kameras mit über 300.000 Downloads. Diese Apps öffneten im Hintergrund unsichtbare Browser-Tabs, um mutmaßlich Werbebetrug zu betreiben.
Für betroffene Nutzer ist eine Bereinigung schwierig. Da Keenadu in der schreibgeschützten Systempartition sitzt, übersteht der Schadcode auch ein Zurücksetzen auf Werkseinstellungen. Eine wirksame Entfernung ist nur durch Flashen einer sauberen Original-Firmware möglich.
Habt ihr Sicherheitsbedenken bei günstigen Android-Tablets oder nutzt ihr diese nur in isolierten Netzwerken? Schreibt uns eure Erfahrungen dazu in die Kommentare.
Siehe auch:
Systemzugriff durch manipulierte Firmware
Das hat das Kaspersky Threat Research-Team entdeckt. Die Schadsoftware ist häufig bereits bei der Auslieferung in der Firmware verankert und wird während des Fertigungsprozesses oder über manipulierte OTA-Updates (Over-the-Air) eingeschleust. Diese Form des Supply-Chain-Angriffs macht es für Endanwender praktisch unmöglich, die Gefahr vor dem ersten Einschalten zu erkennen.Technisch nistet sich Keenadu in der Systembibliothek libandroid_runtime.so ein. Dadurch erlangen Angreifer Kontrolle über den Zygote-Prozess, der als Vorlage für alle startenden Android-Anwendungen dient. Der Schadcode wird so in jede App injiziert und hebelt das Sandbox-Prinzip von Android weitgehend aus.
Globale Verbreitung und Infektionswege
Sensible Daten wie Passwörter, Chatverläufe oder Bankinformationen können abgegriffen werden. Zudem kann die Malware Systemberechtigungen verändern und weitere Schadsoftware nachladen, ohne dass herkömmliche Virenscanner sie zuverlässig erkennen (via The Hacker News).Die Analyse von Kaspersky zeigt, dass bis Februar 2026 mehr als 13.000 infizierte Geräte registriert wurden. Die Telemetriedaten weisen auf eine weltweite Verbreitung mit Schwerpunkten in Russland, Japan, Deutschland, Brasilien und den Niederlanden hin. Die Forscher fanden den Schadcode nicht nur in der Firmware, sondern auch in scheinbar legitimen Systemanwendungen wie Tools zur Gesichtserkennung oder in Launchern der Benutzeroberfläche.
Die Angreifer nutzten neben der Vorinstallation ab Werk auch App-Plattformen zur Verbreitung. Im offiziellen Google Play Store wurden Apps entdeckt, die Keenadu-Code enthielten, darunter Anwendungen zur Steuerung von Smart-Home-Kameras mit über 300.000 Downloads. Diese Apps öffneten im Hintergrund unsichtbare Browser-Tabs, um mutmaßlich Werbebetrug zu betreiben.
Identifizierte Hauptverbreitungswege
- Firmware-Integration: Direkte Einbettung in das Betriebssystem während der Produktion oder via OTA-Update.
- System-Apps: Versteckter Code in privilegierten Anwendungen, die ohne Root-Rechte nicht entfernt werden können.
- App Stores: Verbreitung über manipulierte Apps im Google Play Store sowie über Drittanbieter-Marktplätze.
Raffinierte Tarnung und kaum Rettung
Um Entdeckung zu vermeiden, nutzt Keenadu verschiedene Schutzmechanismen. Eine geografische Prüfung sorgt dafür, dass die Malware deaktiviert bleibt, wenn die Systemsprache auf Chinesisch eingestellt ist oder das Gerät in einer entsprechenden Zeitzone arbeitet. Zudem fordert die Backdoor oft erst nach bis zu zweieinhalb Monaten weitere Schadkomponenten von Command-and-Control-Servern an.Für betroffene Nutzer ist eine Bereinigung schwierig. Da Keenadu in der schreibgeschützten Systempartition sitzt, übersteht der Schadcode auch ein Zurücksetzen auf Werkseinstellungen. Eine wirksame Entfernung ist nur durch Flashen einer sauberen Original-Firmware möglich.
Habt ihr Sicherheitsbedenken bei günstigen Android-Tablets oder nutzt ihr diese nur in isolierten Netzwerken? Schreibt uns eure Erfahrungen dazu in die Kommentare.
Was ist die Keenadu-Malware?
Bei Keenadu handelt es sich um eine komplexe Android-Schadsoftware, die tief im Betriebssystem verankert ist. Laut Sicherheitsforschern von Kaspersky kann diese Malware bereits ab Werk in der Firmware neuer Geräte vorinstalliert sein oder über System-Updates (OTA) eingeschleust werden.
Technisch gesehen nistet sich Keenadu in kritische Systembibliotheken (wie libandroid_runtime.so) ein. Dadurch erlangt die Software die Kontrolle über fast alle installierten Apps und kann Sicherheitsmechanismen wie das App-Sandboxing von Android umgehen.
Technisch gesehen nistet sich Keenadu in kritische Systembibliotheken (wie libandroid_runtime.so) ein. Dadurch erlangt die Software die Kontrolle über fast alle installierten Apps und kann Sicherheitsmechanismen wie das App-Sandboxing von Android umgehen.
Welche Geräte sind betroffen?
Betroffen sind vorwiegend Android-Tablets verschiedener Hersteller, wobei von Kaspersky explizit das Modell Alldocube iPlay 50 mini Pro genannt wird. Die Infektionen treten global auf, wobei Deutschland neben Russland, Japan und Brasilien zu den am stärksten betroffenen Ländern zählt.
Es wurden bisher über 13.000 infizierte Geräte identifiziert. Da die Malware oft über die Lieferkette (Supply Chain) in die Firmware gelangt, sind besonders preisgünstige Geräte oder weniger bekannte Marken ("No-Name"-Tablets) einem höheren Risiko ausgesetzt.
Es wurden bisher über 13.000 infizierte Geräte identifiziert. Da die Malware oft über die Lieferkette (Supply Chain) in die Firmware gelangt, sind besonders preisgünstige Geräte oder weniger bekannte Marken ("No-Name"-Tablets) einem höheren Risiko ausgesetzt.
Welchen Schaden richtet Keenadu an?
Aktuell wird Keenadu hauptsächlich für Werbebetrug (Ad Fraud) genutzt, indem im Hintergrund unsichtbare Browser-Tabs geöffnet und Klicks simuliert werden. Das Potenzial der Malware ist jedoch weitaus gefährlicher: Sie fungiert als vollwertige Backdoor.
Angreifer könnten laut Berichten die volle Kontrolle über das Gerät übernehmen, beliebige Apps installieren und sensible Daten wie Bankinformationen oder Nachrichten stehlen. Besonders kritisch: Wurde die Malware in Gesichtsentsperrungs-Apps gefunden, könnten theoretisch biometrische Daten abgegriffen werden.
Angreifer könnten laut Berichten die volle Kontrolle über das Gerät übernehmen, beliebige Apps installieren und sensible Daten wie Bankinformationen oder Nachrichten stehlen. Besonders kritisch: Wurde die Malware in Gesichtsentsperrungs-Apps gefunden, könnten theoretisch biometrische Daten abgegriffen werden.
Woran erkenne ich eine Infektion?
Für Endanwender ist eine Infektion schwer zu erkennen, da sich Keenadu als legitime Systemkomponente tarnt. Mögliche Indizien können eine verringerte Akkulaufzeit oder ein erhöhter Datenverbrauch durch im Hintergrund laufende Prozesse sein.
Sicherheitsexperten raten zum Einsatz professioneller Mobile-Security-Lösungen, die in der Lage sind, solche tiefgreifenden Bedrohungen zu scannen. Ein manuelles Überprüfen der Prozessliste ist meist wirkungslos, da die Malware Systemprozesse manipuliert.
Sicherheitsexperten raten zum Einsatz professioneller Mobile-Security-Lösungen, die in der Lage sind, solche tiefgreifenden Bedrohungen zu scannen. Ein manuelles Überprüfen der Prozessliste ist meist wirkungslos, da die Malware Systemprozesse manipuliert.
Wie lässt sich Keenadu entfernen?
Da sich Keenadu oft in der Firmware befindet, hilft ein Zurücksetzen auf die Werkseinstellungen nicht. Die effektivste Methode ist die Installation einer sauberen Firmware-Version, sofern der Hersteller ein bereinigtes Update bereitstellt.
Sollte kein sauberes Update verfügbar sein, empfehlen Experten, das Gerät nicht weiter für sensible Tätigkeiten zu nutzen oder es komplett auszutauschen. Bei infizierten System-Apps kann versucht werden, diese in den Einstellungen zu deaktivieren, sofern das System dies zulässt.
Sollte kein sauberes Update verfügbar sein, empfehlen Experten, das Gerät nicht weiter für sensible Tätigkeiten zu nutzen oder es komplett auszutauschen. Bei infizierten System-Apps kann versucht werden, diese in den Einstellungen zu deaktivieren, sofern das System dies zulässt.
Sind Apps aus dem Play Store sicher?
Nicht zwangsläufig. Varianten von Keenadu wurden auch in scheinbar legitimen Apps im Google Play Store entdeckt, insbesondere in Anwendungen für Smart-Home-Kameras. Diese Apps wurden zwar mittlerweile entfernt, hatten aber bereits Hunderttausende Downloads.
Wie gelangt die Malware auf Geräte?
Der primäre Infektionsweg ist die sogenannte Supply-Chain-Attacke: Die Malware wird bereits während der Produktion oder durch manipulierte OTA-Updates (Over-the-Air) in die Firmware integriert. Der Nutzer erhält das Gerät also bereits infiziert "aus der Box".
Ein weiterer Weg sind trojanisierte Apps. Diese sehen aus wie nützliche Anwendungen, laden aber nach der Installation Schadcode nach oder missbrauchen Systemrechte, um die Backdoor zu installieren.
Ein weiterer Weg sind trojanisierte Apps. Diese sehen aus wie nützliche Anwendungen, laden aber nach der Installation Schadcode nach oder missbrauchen Systemrechte, um die Backdoor zu installieren.
Zusammenfassung
- Keenadu: Android-Malware wird direkt in Tablet-Firmware eingebettet
- Malware kontrolliert Zygote-Prozess und injiziert sich in alle Apps
- Über 13000 infizierte Geräte weltweit bis zum 17. Februar 2026
- Verbreitung über Play Store-Apps mit mehr als 300000 Downloads
- Schutzmaßnahmen umfassen geografische Blockierung chinesischer Sprache
- Entfernung erfordert Flashen einer sauberen Firmware mit Fachwissen
- Malware überlebt Werksreset und bleibt auch nach Neueinrichtung aktiv
Siehe auch:
Das Google Pixel 8 im Preisvergleich
Hy-commerce NEU 
Expert.de 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
-
Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
-
Magcubic HY310: Billiger Beamer versagt im Test bei Bild und Ton
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen