Auf einen Blick
Kaspersky hat Android-Tablet Malware ab Werk in mehreren Firmware-Images dokumentiert. Die als “Keenadu” bezeichnete Backdoor sitzt in Systembibliotheken und kann nach dem Start beliebiger Apps Module nachladen. Für Betroffene bedeutet das vor allem Abhängigkeit von bereinigten Firmware-Updates, weil eine normale Deinstallation nicht greift.
Das Wichtigste
- Kaspersky berichtet über vorinstallierte Malware in der Firmware mehrerer Android-Tablets, darunter das Modell Alldocube iPlay 50 mini Pro.
- Nach Angaben des Unternehmens waren in der eigenen Telemetrie rund 13.700 Geräte betroffen, die Schadsoftware ist in Systemkomponenten verankert.
- Das Problem betrifft Käufer von Geräten, die bereits mit infizierter Firmware ausgeliefert wurden, und bleibt nach einem Werksreset bestehen.
Malware sitzt in Systembibliothek
Der Sicherheitsanbieter Kaspersky hat eine Malware-Kampagne beschrieben, bei der Android-Tablets bereits ab Werk mit einer Backdoor ausgeliefert werden. Die Schadsoftware ist dem Bericht zufolge nicht als gewöhnliche App installiert, sondern in die Firmware eingebettet. Damit wird das Entfernen für Nutzer und IT-Abteilungen zu einer Frage der Gerätesoftware und nicht der App-Hygiene.
Kaspersky beschreibt Backdoor “Keenadu” in Firmware
Kaspersky veröffentlichte auf seinem Analyseportal Securelist technische Details zu einer Backdoor mit dem Namen “Keenadu”. Die Komponente ist demnach in zentrale Android-Systembibliotheken integriert und wird so früh im Systemstart aktiv, dass sie sich in Prozesse beliebiger Apps einklinken kann. In der Analyse beschreibt Kaspersky unter anderem, dass die Backdoor verschlüsselte Zusatzmodule aus dem Internet nachlädt und ausführt. Die Persistenz ergibt sich laut Bericht daraus, dass der Code Teil der signierten Firmware ist und damit die üblichen Wege einer App-Entfernung umgeht.
Als Beispiel nennt Kaspersky Firmware-Versionen des Android-Tablets Alldocube iPlay 50 mini Pro. Außerdem verweist der Anbieter auf weitere betroffene Geräteklassen. Der Bericht legt nahe, dass die Manipulation während des Firmware-Builds erfolgt ist, weil die betroffenen Images als gültig signiert beschrieben werden.
Folgen für Nutzer und Behörden
Eine in der Firmware verankerte Backdoor verlagert die Verantwortung für Abhilfe auf Hersteller und Vertriebskanäle. Solange keine bereinigte, signierte Firmware bereitsteht, bleibt das Risiko bestehen, dass die Schadsoftware im Hintergrund Funktionen nachlädt und in App-Prozessen aktiv wird. Für Unternehmen und öffentliche Stellen erhöht das die Relevanz von Gerätezulassungen und Beschaffungsvorgaben, weil Standardmaßnahmen wie App-Whitelists oder MDM-Profile Systemkomponenten nur begrenzt erfassen.
Der Fall unterstreicht zudem eine bekannte Schwachstelle in der Lieferkette günstiger Geräte, bei denen Softwarepakete von Zulieferern oder Auftragsfertigern stammen können. Für die Aufsicht ist dabei zentral, dass Integritätsmechanismen wie Signaturen und Verified-Boot-Checks die Herkunft eines Images bestätigen, nicht aber automatisch dessen Unbedenklichkeit, wenn der Build-Prozess kompromittiert wurde.
Hersteller-Updates und mögliche Marktmaßnahmen
Kaspersky zufolge wurden betroffene Hersteller über die Funde informiert. Ob es zu Rückrufen, Firmware-Updates oder Anpassungen in den Vertriebskanälen kommt, ist derzeit nicht bekannt. In ähnlichen Fällen hängt die weitere Entwicklung in der Regel davon ab, ob Anbieter kurzfristig bereinigte Images ausrollen können und ob Händler, Plattformen oder Behörden Geräte aus dem Verkauf nehmen.
Lieferkettenrisiko rückt wieder in den Fokus
Mit “Keenadu” beschreibt Kaspersky eine Android-Tablets-Malware, die nicht nachträglich installiert wird, sondern Teil der Auslieferungssoftware ist. Die technische Verankerung in der Firmware erhöht den Aufwand für eine Bereinigung und bindet sie an Hersteller- und Updateprozesse. Für den Markt bleibt die Frage, wie transparent Lieferketten und Build-Umgebungen bei günstigen Android-Geräten abgesichert sind.
