Sicherheitsforscher von Kaspersky haben eine neue Backdoor namens Keenadu entdeckt, die in der Firmware von Android-Tablets mehrerer Hersteller steckt. Die Schadsoftware war bereits ab Werk auf den Geräten installiert, noch bevor sie in den Handel kamen. Betroffen sind vor allem günstige Tablets weniger bekannter Marken.
Keenadu nistet sich im sogenannten Zygote-Prozess ein, einem zentralen Systemprozess, der jede App auf dem Gerät startet. Die Angreifer erhalten dadurch weitreichende Kontrolle über das gesamte System. Die Malware kann zusätzliche Module nachladen, die etwa Browser-Suchanfragen umleiten, App-Installationen für Werbebetrug missbrauchen und im Hintergrund mit Werbeelementen interagieren. Betroffene Nutzer berichten zudem, dass das Tablet heimlich Artikel in Warenkörbe von Online-Shops legte.
Als konkretes Beispiel nennen die Forscher das Alldocube iPlay 50 mini Pro. Sämtliche untersuchten Firmware-Versionen enthielten die Backdoor, selbst jene, die nach einer öffentlichen Stellungnahme des Herstellers erschienen. Die Firmware-Dateien trugen gültige digitale Signaturen, was auf eine Kompromittierung während des Build-Prozesses in der Lieferkette hindeutet.
Laut Kaspersky waren weltweit 13.715 Nutzer betroffen, die meisten in Russland, Japan, Brasilien, den Niederlanden, aber auch Deutschland. Die Forscher sehen Verbindungen zu anderen bekannten Android-Botnetzen wie Triada, BadBox und Vo1d. Große Tablet-Marken scheinen nicht betroffen zu sein.
Google hat mittlerweile auf die Erkenntnisse reagiert und erklärt, dass Play Protect Nutzer automatisch vor bekannten Versionen der Malware schütze. Drei infizierte Apps seien zudem aus dem Play Store entfernt worden. Google empfiehlt, zu prüfen, ob das eigene Gerät Play-Protect-zertifiziert ist.
Wer ein günstiges Android-Tablet einer weniger bekannten Marke besitzt, sollte umgehend nach Firmware-Updates suchen. Ist kein sauberes Update verfügbar, raten die Forscher, das Gerät vorerst nicht weiter zu nutzen.
Keenadu ist kein Einzelfall. Erst letzten Sommer warnte das FBI vor BadBox 2.0, einer Weiterentwicklung der Malware, mit der Kaspersky auch Keenadu in Verbindung bringt. Laut FBI sind über eine Million Geräte infiziert, darunter Smart-TVs, Streaming-Boxen und andere Android-basierte IoT-Geräte. Auch hier gelangt die Schadsoftware bereits vor dem Verkauf oder über manipulierte Firmware-Updates auf die Geräte. Das Botnetz erstreckt sich mittlerweile über 222 Länder und wird für Werbebetrug, das Umleiten von Datenverkehr und die Übernahme von Konten mit gestohlenen Zugangsdaten genutzt.