Keenadu gelangte nach Darstellung von Kaspersky über zwei Wege auf die Geräte: In manchen Fällen erhielten Nutzer Geräte, auf denen die Malware bereits vorinstalliert war, in anderen kam die kompromittierte Software über ansonsten reguläre Sicherheitsupdates per Funk (Over-the-Air) auf die Geräte. Die Hersteller hätten möglicherweise nicht gewusst, dass ihre Geräte infiziert waren, bevor sie in den Handel kamen, so Kaspersky.

Besonders gefährlich macht die Schadsoftware, dass ihre Urheber sie nicht nur über manipulierte Firmware verbreiten können, sondern auch versteckt in System-Apps – darunter Dienste zur Gesichtserkennung und Launcher-Apps – sowie über veränderte Versionen beliebter Anwendungen in offiziellen Stores wie Google Play und Xiaomi GetApps.

Technisch arbeitet Keenadu als mehrstufiger Lader, der Schadmodule nachlädt. Kaspersky fand ein Modul, das auf große Online-Shopping-Plattformen wie Amazon, Shein und Temu abzielt, ein weiteres, das jede in Google Chrome eingegebene Suchanfrage überwacht, und ein drittes, das Anwendungsinstallationen abfängt und Tracking-Links an Werbeplattformen sendet, um sich diese Installationen gutschreiben zu lassen.

Derzeit nutzen die Betreiber die Malware laut Kaspersky ausschließlich für Werbebetrug: Infizierte Geräte klicken unbemerkt auf Anzeigen, wofür die Angreifer pro Klick bezahlt werden. Ebenso ließe sich die Schadsoftware aber dafür einsetzen, die vollständige Fernsteuerung betroffener Geräte zu übernehmen, warnt das Unternehmen.

Kasperskys Untersuchung deckte zudem Verbindungen zwischen Keenadu und drei weiteren großen Android-Botnetzen auf – BADBOX, Triada und Vo1d. Das Unternehmen beobachtete mehrere Fälle, in denen BADBOX aktiv Keenadu-Schadmodule auf kompromittierten Systemen ausspielte, sowie Hinweise auf eine Verbindung zwischen Triada und BADBOX über gemeinsam genutzte Infrastruktur. “Diese Erkenntnisse zeigen, dass mehrere der größten Android-Botnetze miteinander interagieren”, so Kaspersky. Bestätigt seien Verbindungen zwischen Triada, Vo1d und BADBOX sowie zwischen Keenadu und BADBOX.

Kaspersky hat Kompromittierungsindikatoren bereitgestellt, mit denen Nutzer prüfen können, ob ihre Geräte betroffen sind. Steckt Keenadu auf Firmware-Ebene, hilft nur ein vollständiger Austausch der Firmware; bis dahin sollten Nutzer das Gerät nicht mehr verwenden. Befindet sich die Malware in einer System-App, sollten Betroffene nach einem sauberen Ersatz für die App suchen oder sie andernfalls vollständig deaktivieren. Wer eine infizierte App aus einem Drittanbieter-Store geladen hat, kann sie einfach deinstallieren.