Android-Malware durch Supply-Chain-Angriff: Keenadu in Firmware integriert und ermöglicht vollständige Geräteübernahme

Keenadu lädt Schad-Payloads herunter, kapert Browser-Suchanfragen, betreibt Werbebetrug und führt weitere Aktionen ohne Wissen der Nutzer aus.


Sicherheitsforscher haben eine neue Malware entdeckt, die in die Firmware von Android-Geräten mehrerer Hersteller integriert wurde. Die Schadsoftware injiziert sich in jede Anwendung auf infizierten Systemen und ermöglicht Angreifern damit nahezu uneingeschränkten Remote-Zugriff auf die Geräte.

Das Sicherheitsunternehmen Kaspersky verfolgt die Malware unter dem Namen „Keenadu“. Die Entdeckung erfolgte im Rahmen von Untersuchungen zu Android-Firmware-Bedrohungen wie dem Triada Remote Access Trojan (RAT), der zum Diebstahl von Daten aus Banking- und Kommunikations-Apps eingesetzt wird. Ähnlich wie Triada wurde auch Keenadu bereits vorinstalliert auf Android-Geräten mehrerer, meist kleinerer, Hersteller gefunden. Kaspersky hat die betroffenen Anbieter über die Sicherheitsverletzung informiert.

Firmware-Level-Bedrohung durch kompromittierte Supply Chain

Nach Angaben von Kaspersky wurde Keenadu infolge eines Supply-Chain-Angriffs direkt in die Android-Firmware integriert.
Eine Phase der Firmware-Lieferkette wurde kompromittiert, wodurch eine bösartige Abhängigkeit im Quellcode eingebunden wurde.
Die infizierte Datei wird vom „Zygote“-Masterprozess von Android verwendet – derselbe Mechanismus, der bereits beim Triada-Trojaner beobachtet wurde. Dadurch wird die Malware automatisch in jede Anwendung kopiert, die auf einem kompromittierten Gerät gestartet wird.

Hersteller könnten laut Kaspersky nicht bemerkt haben, dass ihre Geräte bereits infiziert waren, bevor sie auf den Markt gelangten.

Mehr als 13.000 infizierte Android-Geräte weltweit

Bis Februar wurden laut Kaspersky rund 13.000 Android-Geräte mit Keenadu infiziert. Die meisten betroffenen Nutzer befinden sich in:
  • Russland
  • Japan
  • Deutschland
  • Brasilien
  • Niederlande
In einigen Fällen erhielten Nutzer Geräte, auf denen die Malware bereits in der Firmware vorinstalliert war. In anderen Fällen wurde die kompromittierte Software über normale Over-the-Air-Sicherheitsupdates (OTA) verteilt.

Tausende infizierte Geräte weltweit

Bis Februar identifizierten die Forscher rund 13.000 infizierte Android-Geräte. Die meisten betroffenen Nutzer befinden sich in Russland, gefolgt von Japan, Deutschland, Brasilien und den Niederlanden.

In einigen Fällen wurden Geräte mit der Malware bereits ab Werk ausgeliefert, da sie sich direkt in der Firmware befand. In anderen Fällen gelangte die kompromittierte Software über scheinbar normale Over-the-Air-Sicherheitsupdates auf die Geräte der Nutzer.

Versteckte Verbreitung über System-Apps und App-Stores

Besonders gefährlich ist Keenadu, weil seine Entwickler die Malware nicht nur über manipulierte Firmware verbreiten können. Sie kann auch versteckt sein in:
  • System-Apps
  • Gesichtserkennungsdiensten
  • Launcher-Apps
  • modifizierten Versionen beliebter Anwendungen in offiziellen Stores wie
    • Google Play
    • Xiaomi GetApps

Multistage-Malware für Werbebetrug und Überwachung

Technisch arbeitet Keenadu als mehrstufiger Loader, der zusätzliche Schadmodule aus dem Internet nachlädt. Diese Module können Browser-Suchanfragen manipulieren, heimlich Werbeanzeigen anklicken und sogar Produkte automatisch in Warenkörbe von Online-Shops legen, ohne dass der Nutzer dies bemerkt.

Die Analyse von Kaspersky zeigte außerdem spezialisierte Komponenten der Malware. Ein Modul richtet sich gezielt gegen große E-Commerce-Plattformen wie Amazon, Shein und Temu. Ein anderes überwacht sämtliche Suchanfragen, die ein Nutzer im Browser Google Chrome eingibt. Zusätzlich existiert ein Modul, das App-Installationen abfängt und Tracking-Links an Werbenetzwerke sendet, damit die Betreiber der Malware Provisionen für diese Installationen erhalten.

Aktuell Ad-Fraud – aber Potenzial für vollständige Geräteübernahme

Nach aktuellen Erkenntnissen wird Keenadu hauptsächlich für Werbebetrug eingesetzt. Infizierte Geräte führen im Hintergrund automatisierte Klicks auf Werbeanzeigen aus, wodurch die Betreiber der Malware Einnahmen generieren.

Die Forscher warnen jedoch, dass die Malware deutlich gefährlicher eingesetzt werden könnte. Da sie tief im System integriert ist, könnten Angreifer jederzeit zusätzliche Funktionen aktivieren und so die vollständige Kontrolle über betroffene Geräte übernehmen, weitere Schadsoftware installieren oder sensible Nutzerdaten stehlen.

Verbindungen zu großen Android-Botnetzen

Die Untersuchung brachte zudem Hinweise auf Verbindungen zwischen Keenadu und mehreren bekannten Android-Botnetzen, darunter BADBOX, Triada und Vo1d. Die Forscher fanden Fälle, in denen BADBOX aktiv Keenadu-Payloads auf kompromittierten Geräten installierte. Außerdem entdeckten sie Hinweise darauf, dass Triada und BADBOX teilweise dieselbe Infrastruktur nutzen.

Diese Erkenntnisse deuten darauf hin, dass mehrere der größten Android-Malware-Operationen möglicherweise miteinander kooperieren oder zumindest technische Ressourcen teilen.
 

Schutzmaßnahmen bei einer Keenadu-Infektion

Kaspersky hat sogenannte Indicators of Compromise (IoCs) veröffentlicht, mit denen Nutzer überprüfen können, ob ihr Gerät betroffen ist. Wenn sich die Malware direkt in der Firmware befindet, besteht die einzige zuverlässige Lösung darin, die Firmware vollständig zu ersetzen. Bis dies möglich ist, empfehlen die Forscher, das Gerät nicht weiter zu verwenden.

Befindet sich die Malware hingegen in einer System-App, sollten Nutzer versuchen, eine saubere Version der Anwendung zu installieren oder die infizierte App vollständig zu deaktivieren. Wurde eine kompromittierte Anwendung aus einem Drittanbieter-App-Store heruntergeladen, reicht es in der Regel aus, die App zu deinstallieren, um die Bedrohung zu entfernen.