Sicherheitsforscher von Kaspersky haben mit Keenadu eine hochentwickelte Android-Backdoor analysiert, die gleich mehrere besonders kritische Verbreitungswege nutzt: manipulierte Werks-Firmware, kompromittierte System-Apps und selbst Anwendungen im offiziellen Google Play Store. Damit wird ein Szenario Realität, das die Mobile-Security-Community seit Jahren befürchtet: Android-Geräte können bereits ab Werk vollständig unter Kontrolle eines Botnet-Betreibers stehen.
Ausmass der Infektion und betroffene Regionen
Nach Kaspersky-Telemetrie waren bis Februar 2026 bereits mehr als 13.000 Android-Geräte mit Keenadu infiziert. Besondere Häufungen verzeichneten die Forscher in Russland, Japan, Deutschland, Brasilien und den Niederlanden. Für eine Infrastruktur-Backdoor dieser Klasse ist dies eine erhebliche, aber vermutlich noch nicht finale Zahl – ein Hinweis darauf, dass die Kampagne weiterhin aktiv läuft.
Supply-Chain-Angriff auf die Firmware: Technische Details
Der zentrale sicherheitsrelevante Aspekt von Keenadu ist der Supply-Chain-Angriff auf die Firmware. Am Beispiel des Tablets Alldocube iPlay 50 mini Pro (T811M) lässt sich die Angriffskette nachvollziehen: Eine manipulierte statische Bibliothek libVndxUtils.a wurde direkt in das Quellcode-Repository der Firmware eingeschleust und während des Build-Prozesses mit ausgeliefert.
Manipulierte Bibliotheken und Zygote-Prozess
Die bösartige Bibliothek wird mit libandroid_runtime.so verlinkt, einer Kernkomponente des Android-Frameworks. Dadurch infiziert Keenadu den Zygote-Prozess, aus dem alle Android-Apps hervorgehen. Praktisch bedeutet das: Der Backdoor-Code landet im Adressraum jedes gestarteten Prozesses und unterläuft damit die übliche Isolation zwischen Anwendungen – ein direkter Angriff auf das Sicherheitsmodell von Android.
Besonders kritisch: Die infizierten Firmware-Images tragen eine gültige digitale Signatur des Herstellers. Auch spätere Updates für betroffene Modelle verteilten weiterhin die kompromittierten Komponenten, teilweise sogar nach Bekanntwerden des Vorfalls. Das ist ein typisches Muster tiefgreifender Supply-Chain-Kompromittierungen, bei denen der Hersteller die Manipulation anfangs oft selbst nicht erkennt.
Verbreitungswege über System-Apps und App-Stores
Keenadu ist nicht auf einzelne Gerätehersteller beschränkt. In anderen Fällen wurde der Backdoor-Code nicht in libandroid_runtime.so, sondern in separate Systemanwendungen eingebettet. Die Malware tauchte zudem in alternativen App-Katalogen sowie im Google Play Store und in Xiaomi GetApps auf.
Eine auffällige Eigenschaft: Keenadu deaktiviert sich selbst, wenn Spracheinstellungen oder Zeitzone des Geräts auf eine Nutzung in China hindeuten. Solche Geo- und Sprachfilter sind von anderen Kampagnen bekannt und deuten darauf hin, dass die Angreifer Konflikte mit lokalen Regulierungsbehörden vermeiden wollen.
Architektur von Keenadu: Vollzugriff auf das Android-System
Die Backdoor folgt einer Client-Server-Architektur innerhalb des Betriebssystems. Der Serverteil AKServer läuft in dem privilegierten Prozess system_server, der zentrale Systemdienste von Android verwaltet. Der Client AKClient wird in reguläre Apps injiziert und kommuniziert mit diesem Server.
Mit dieser Position im System kann Keenadu unter anderem:
– Berechtigungen beliebiger Apps dynamisch erteilen oder entziehen;
– umfangreiche Geräteinformationen wie IMEI, MAC-Adresse, Modell und OS-Version auslesen;
– Standortdaten und andere sensible Informationen sammeln;
– die Installation und Ausführung von APK-Dateien fernsteuern.
Android versucht seit mehreren Versionen, über Installations-Sessions und strengere Berechtigungsmodelle Missbrauch zu begrenzen. Die Analyse zeigt jedoch, dass Keenadu gezielt an diesen Schutzmechanismen vorbei arbeitet und sich insbesondere Zugriffe auf die besonders sensiblen Accessibility-Funktionen sichern kann – ein Bereich, der häufig für Betrugs- und Phishing-Szenarien missbraucht wird.
Kriminelle Nutzung: Werbefraud, Shopping-Manipulation und Biometrie-Risiken
Der primäre Einsatzzweck von Keenadu ist laut Analyse Werbebetrug (Ad Fraud). Die Backdoor interagiert verdeckt mit Werbeelementen, simuliert Klicks und App-Installationen und generiert so betrügerische Einnahmen aus Werbenetzwerken, ohne dass der Nutzer aktive Aktionen ausführt.
Ein eigener Modulstrang zielt auf den Browser Google Chrome. Dieser kann Suchanfragen – auch im Inkognito-Modus – abfangen und die verwendete Suchmaschine manipulieren. Das eröffnet Angreifern zusätzliche Einnahmequellen durch Traffic-Umleitung und erhöht zugleich das Risiko von Phishing-Angriffen.
Ein weiterer Loader konzentriert sich auf Shopping-Apps wie Amazon, SHEIN und Temu. Nutzerberichte deuten darauf hin, dass ohne ihr Wissen Warenkörbe befüllt wurden. Solche Funktionen eignen sich sowohl für verdeckte Käufe als auch für die künstliche Aufblähung von Kennzahlen auf E-Commerce-Plattformen.
Besonders brisant ist der Fund von Keenadu in einem Systemmodul zur Gesichtserkennung. Damit besteht potentiell Zugriff auf biometrische Templates der Nutzer. Im Unterschied zu Passwörtern lassen sich biometrische Merkmale nicht einfach ändern; ein Missbrauch hätte langfristige Folgen für die Betroffenen.
Verbindung zu Triada, BADBOX und Vo1d
Im Rahmen der Analyse stellten die Forscher Bezüge zu bekannten Android-Botnetzen wie Triada, BADBOX und Vo1d fest. Unter anderem wurde beobachtet, dass BADBOX in einigen Fällen Module von Keenadu nachlud. Codevergleiche zeigen Überschneidungen, gleichzeitig aber auch deutliche architektonische Unterschiede. Wahrscheinlich nutzen die Betreiber ähnliche Codebasen oder Konzepte, entwickeln jedoch eine eigenständige Plattform für modulare Android-Angriffe weiter.
Warum sich Keenadu kaum entfernen lässt – und was Nutzer tun können
Besonders problematisch ist, dass sich Keenadu mit Bordmitteln von Android praktisch nicht entfernen lässt. Der Systembereich, in dem sich libandroid_runtime.so befindet, ist auf modernen Geräten schreibgeschützt. Ein vollständiges Entfernen ist realistisch nur über eine saubere offizielle Firmware oder ein manuelles Re-Flashen des Geräts möglich – vorausgesetzt, ein nicht kompromittiertes Image existiert überhaupt.
Bis zur Installation einer sauberen Firmware sollten betroffene Geräte nicht für sensible Aktivitäten wie Banking, Passwortverwaltung, Zwei-Faktor-Authentifizierung oder geschäftliche Kommunikation genutzt werden. Generell empfiehlt es sich, auf anerkannte Mobile-Security-Lösungen zu setzen, die auch vorinstallierte Malware erkennen können, bei der Gerätewahl auf seriöse Hersteller mit transparenten Update-Prozessen zu achten und ungewöhnliche Aktivitäten wie unerklärliche App-Installationen, aggressive Werbung oder verdächtige Kontoaktionen konsequent zu untersuchen.
Der Fall Keenadu zeigt, dass vorinstallierte Malware und Supply-Chain-Angriffe zu den kritischsten Bedrohungen für die Android-Ökosysteme gehören. Hersteller müssen ihre Build-Pipelines, externen Bibliotheken und Firmware-Signaturprozesse deutlich strenger auditieren. Nutzer wiederum sollten Sicherheitsupdates konsequent einspielen, Gerätequellen kritisch prüfen und bei ersten Anzeichen eines kompromittierten Systems professionelle Security-Checks in Betracht ziehen.
