Sicherheitsforscher haben die Malware „Keenadu” aufgedeckt, die in der Firmware von Android-Geräten mehrerer Hersteller eingebettet ist und sich in alle installierten Apps injiziert. Die Schadsoftware ermöglicht Angreifern umfassenden Fernzugriff auf infizierte Geräte.
Kaspersky hat eine neue Malware namens „Keenadu” identifiziert, die über eine Lieferketten-Attacke in die Firmware von Android-Geräten verschiedener, überwiegend kleinerer Hersteller gelangt ist. Das Schadsoftware-Modul funktioniert ähnlich wie der bekannte Triada-Trojaner und wird durch Androids Zygote-Master-Prozess aktiviert — mit der Folge, dass die Malware automatisch in jede auf dem betroffenen Gerät installierte Anwendung injiziert wird.
Die Kaspersky-Experten gehen davon aus, dass viele Gerätehersteller von der Infektion ihrer Geräte vor dem Marktstart nichts wussten. Die Malware gelangte durch eine Kompromittierung eines Stadiums der Firmware-Lieferkette in die Geräte und wurde als böswillige Abhängigkeit in den Quellcode integriert.
Bis Februar 2024 waren etwa 13.000 Android-Geräte mit Keenadu infiziert. Die meisten betroffenen Nutzer befinden sich in Russland, gefolgt von Japan, Deutschland, Brasilien und den Niederlanden. Die Infektion erfolgte teilweise bereits ab Werk, in anderen Fällen über manipulierte Over-the-Air-Updates.
Keenadu fungiert als mehrstufiger Loader und kann über verschiedene Wege verbreitet werden: vorinstalliert in der Firmware, versteckt in System-Apps wie Gesichtserkennungsdiensten oder Launcher-Anwendungen, sowie durch modifizierte Versionen populärer Apps aus offiziellen Stores wie Google Play und Xiaomi GetApps.
Das Modul lädt verschiedene Payload-Module herunter, etwa für Such-Hijacking, Advertising-Fraud, das unbemerkte Hinzufügen von Produkten zu Warenkörben und die Überwachung von Chrome-Suchanfragen. Besonders besorgniserregend ist ein Modul, das Installationen von Anwendungen abfängt und Tracking-Links an Werbenetzwerke sendet, um sich illegale Provisionen zu sichern.
Aktuell nutzen die Betreiber Keenadu hauptsächlich für Advertising-Fraud, indem sie infizierte Geräte zu versteckten Ad-Klicks missbrauchen. Allerdings könnten die Angreifer die Malware problemlos für vollständigen Fernzugriff einsetzen.
Besonders alarmierend ist ein weiterer Fund: Kaspersky entdeckte Verbindungen zwischen Keenadu und drei anderen großen Android-Botnets — BADBOX, Triada und Vo1d. Dies deutet auf eine Koordination zwischen einigen der größten mobilen Malware-Operationen hin. BADBOX setzt aktiv Keenadu-Payloads ein, und es gibt Hinweise auf geteilte Infrastruktur zwischen Triada und BADBOX.
Kaspersky empfiehlt betroffenen Nutzern: Wurde Keenadu auf Firmware-Ebene vorinstalliert, ist eine vollständige Firmware-Erneuerung notwendig. Befindet sich die Malware in einer System-App, sollte diese deaktiviert oder durch eine saubere Version ersetzt werden. Für Apps aus Drittanbieter-Stores hilft eine einfache Deinstallation.
Quelle: Dark Reading