Deutschland unter den drei Ländern mit den meisten betroffenen Nutzern
- Seit Februar 2026 weltweit mehr als 13.000 infizierte Geräte identifiziert
- Infizierte Apps für Smart-Home-Kameras wurden über Google Play verbreitet und über 300.000 Mal heruntergeladen
Kaspersky hat eine neue Malware-Familie für Android-Geräte entdeckt. Seit Februar 2026 haben die Sicherheitslösungen des Unternehmens mehr als 13.000 infizierte Geräte mit der als „Keenadu“ bezeichneten Schadsoftware erkannt; Deutschland zählt zu den drei Ländern mit den meisten betroffenen Nutzern. Die Schadsoftware wurde in drei Varianten identifiziert: Sie ist bereits in der Firmware bestimmter Android-Tablet-Modelleintegriert, in System-Apps eingebettet oder wird über Apps aus Android-App-Stores, einschließlich Google Play, verbreitet [1]. Keenadu wird aktuell vor allem für Werbebetrug missbraucht; einzelne Varianten erlauben jedoch deutlich weitergehende Funktionen bis hin zur vollständigen Kontrolle des Geräts.
Die Kaspersky-Experten identifizierten drei Verbreitungswege, über die sich die von Kaspersky entdeckte und „Keenadu“ genannte Schadsoftware verbreitet: bereits in der Firmware von Geräten vorinstalliert, in System-Apps eingebettet oder per Download infizierter Apps aus Android-App-Stores einschließlich Google Play. Deutschland zählt zu den drei Ländern mit den meisten betroffenen Nutzern, hinter Russland und Japan.
In die Firmware integriert agiert Keenadu als vollwertige Backdoor
Besonders kritisch ist die Variante, bei der Keenadu – ähnlich wie die 2025 von Kaspersky entdeckte Triada-Backdoor [2] – in einer Lieferkettenphase in die Firmware bestimmter Android-Tablet-Modelle gelangt. In dieser Ausprägung agiert Keenadu als vollwertige Backdoor: Sie kann installierte Apps kompromittieren, zusätzliche Apps aus APK-Dateien nachladen und ihnen weitreichende Berechtigungen erteilen. Dadurch können unter anderem Medien, Nachrichten, Banking-Zugangsdaten, Standortdaten und weitere Informationen abgegriffen werden; zudem kann die Malware sogar Suchanfragen im Inkognito-Modus des Chrome-Browsers überwachen.
Wenn die Malware in die Firmware integriert ist, verhält sie sich je nach verschiedenen Faktoren unterschiedlich: so wird sie nicht aktiviert, wenn die auf dem Gerät eingestellte Sprache ein chinesischer Dialekt ist und die Uhrzeit auf eine der chinesischen Zeitzonen eingestellt ist; zudem wird sie auch nicht gestartet, wenn auf dem Gerät weder Google Play Store noch Google Play Services installiert sind.
System-App-Einbindung ermöglicht Gesichtsdaten-Diebstahl
Weitere Varianten sind in System-Apps eingebettet. Zwar ist die Funktionalität dann eingeschränkter, durch erhöhte Rechte von Systemanwendungen können Angreifer dennoch unbemerkt zusätzliche Apps installieren. Kaspersky entdeckte Keenadu unter anderem in einer Systemanwendung zum Entsperren per Gesichtserkennung – damit besteht potenziell das Risiko, dass biometrische Daten abgegriffen werden. In Einzelfällen war die Malware auch in der App für die Startbildschirm-Oberfläche integriert.
Infizierte Smart-Home-Anwendungen wurden über 300.000 Mal heruntergeladen
Zusätzlich fanden IT-Sicherheitsexperten von Kaspersky infizierte Apps, die über Google Play verbreitet wurden: Dabei handelt es sich um Anwendungen für Smart-Home-Kameras, die insgesamt mehr als 300.000 Mal heruntergeladen wurden und inzwischen aus Google Play entfernt wurden. Nach dem Start können diese Apps unsichtbare Browser-Tabs öffnen, um unbemerkt Webseiten im Hintergrund aufzurufen.
„Wie unsere aktuellen Analysen zeigen, stellt vorinstallierte Malware auf vielen Android-Geräten eine ernstzunehmende Herausforderung dar“, kommentiert Dmitry Kalinin, Security Researcher bei Kaspersky. „Ohne Zutun des Nutzers kann ein Gerät bereits beim Auspacken infiziert sein. Es ist wichtig, dass Nutzer dieses Risiko kennen und Sicherheitslösungen verwenden, die solche Malware erkennen können. Die betroffenen Hersteller wussten vermutlich nichts von der Sicherheitslücke in der Lieferkette, durch die Keenadu in Geräte gelangte – die Malware imitierte legitime Systemkomponenten. Entscheidend ist, jede Stufe der Produktion zu prüfen, um sicherzustellen, dass die Geräte-Firmware nicht infiziert ist.“
Kaspersky-Tipps zum Schutz vor Android-Malware
- Eine zuverlässige Sicherheitslösung, wie etwa Kaspersky Premium [3], einsetzen, die solche Bedrohungen erkennt und davor warnt.
- Bei Verdacht auf infizierte Firmware verfügbare Firmware-Updates prüfen, anschließend einen vollständigen Scan mit einer Sicherheitslösung durchführen.
- Bei kompromittierten System-Apps die betroffene Anwendung nicht weiter nutzen und – sofern möglich – deaktivieren [4]; bei kompromittierten Launcher-Apps den Standard-Launcher deaktivieren und auf einen alternativen Launcher wechseln.
Weitere Informationen sind verfügbar unter https://securelist.com/keenadu-android-backdoor/118913/
[1] https://securelist.com/keenadu-android-backdoor/118913/
[2] https://securelist.com/triada-trojan-modules-analysis/116380/
[3] https://kas.pr/re3t
[4] https://www.kaspersky.com/blog/how-to-disable-and-remove-android-bloatware/49960/
Nützliche Links:
- Kaspersky-Analyse zu Keenadu: https://securelist.com/keenadu-android-backdoor/118913/
- Kaspersky Premium: https://kas.pr/re3t
