Gefährliche Backdoor: Android-Malware in Firmware und auf Google Play entdeckt
Sicherheitsforscher von Kaspersky haben eine neue Backdoor-Malware namens Keenadu entdeckt, die teilweise direkt in der Firmware von Android-Geräten integriert ist, teilweise aber auch über Apps aus App-Stores wie dem Google Play Store verbreitet wurde. Infektionen wurden in mehreren Ländern festgestellt, vor allem in Russland, Japan, Deutschland, Brasilien und den Niederlanden.
Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) hat Keenadu gewisse Ähnlichkeiten zur schon seit Jahren bekannten Triada-Malware . Triada ist Teil der Badbox-Kampagne und auf einigen besonders preisgünstigen Android-Geräten ab Werk installiert. Das BSI leitet seit Ende 2024 einen Großteil des Badbox-Traffics aus Deutschland in ein Sinkhole .
Genau wie Triada schleust sich Keenadu laut Kaspersky in den Zygote-Prozess(öffnet im neuen Fenster) von Android ein, also jenem Prozess, der beim Hochfahren des Betriebssystems als erstes gestartet wird. Von dort aus soll die Malware in den Adressraum jeder auf dem Zielgerät gestarteten App gelangen und damit weitreichende bösartige Aktivitäten ermöglichen.
Verbreitung über Firmware und Apps
Eingeschleust wird Keenadu nach Angaben der Forscher auf verschiedenen Wegen. In einigen untersuchten Fällen gelangte die Malware über bestimmte Firmware-Versionen auf Android-Geräte, etwa auf Tablets eines Herstellers namens Alldocube. Der Schadcode war dabei direkt in die Systembibliothek libandroid_runtime.so eingebettet.
Manchmal war die Malware aber auch in System-Apps oder anderen Anwendungen integriert, die unter anderem über Google Play oder Xiaomi Getapps zur Verfügung gestellt wurden. Als Beispiele nennen die Forscher drei Apps für smarte Kameras (Eoolii, Ziicam und Eyeplus), die auf Google Play zusammen auf über 300.000 Downloads kamen.
Wie Bleeping Computer(öffnet im neuen Fenster) unter Verweis auf Aussagen der Kaspersky-Forscher berichtet, gewährt die Keenadu-Malware Angreifern je nach Infektionsweg eine "unbegrenzte Kontrolle" über infiltrierte Geräte. "Sie kann jede auf dem Gerät installierte App infizieren, beliebige Apps aus APK-Dateien installieren und ihnen alle verfügbaren Berechtigungen erteilen" , so die Forscher.
Dadurch seien im Grunde alle auf dem Gerät verfügbaren Daten gefährdet. Sowohl Medien als auch Bankdaten, Nachrichten und Standortdaten könnten mit Keenadu kompromittiert werden. "Die Malware überwacht sogar Suchanfragen, die der Benutzer im Inkognito-Modus in den Chrome-Browser eingibt" , erklärten die Forscher weiter.
Malware meidet chinesische Geräte
Die Kaspersky-Forscher heben hervor, dass die Keenadu-Malware inaktiv bleibt, sofern die Spracheinstellungen oder die Zeitzone eines infizierten Gerätes auf einen chinesischen Nutzer hindeuten. Das kann ein Hinweis darauf sein, dass Akteure aus China hinter Keenadu stecken. Auch bei Malware von russischen Entwicklern wurde bereits ein solches Verhalten beobachtet .
Entfernen lässt sich die Schadsoftware laut Kaspersky durch eine Deinstallation und das Ersetzen der jeweils infizierten App. Ist direkt die Firmware betroffen, so ist eine Entfernung allerdings nicht so einfach möglich. In diesen Fällen sind Anwender auf eine bereinigte Firmware angewiesen – entweder direkt vom Hersteller oder, unter Beachtung der damit einhergehenden Risiken, von einem Drittanbieter.
Weltweit stellten die Kaspersky-Forscher bisher 13.715 Keenadu-Infektionen fest. Wie sich diese im Detail auf die einzelnen Länder verteilen, schlüsseln die Forscher allerdings nicht auf. Betroffene Apps aus dem Play Store wurden nach Angaben eines Google-Sprechers bereits entfernt. Auch soll das ab Werk aktivierte Sicherheitstool Google Play Protect inzwischen in der Lage sein, bekannte Versionen der Malware zu erkennen und Anwender davor zu warnen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.