Gefährliche Firmware-Backdoor: Wenn das neue Tablet zum Spion wird – Google gibt Statement ab

VonJörn Schmidt
Android Malware

Wer billig kauft, kauft zweimal – im schlimmsten Fall bezahlt man diesmal mit seinen privatesten Daten. Sicherheitsforscher von Kaspersky haben eine tief im System verankerte Backdoor namens Keenadu entdeckt, die bereits bei der Auslieferung auf Android-Tablets lauert. Betroffen ist unter anderem das beliebte Alldocube iPlay 50 mini Pro. Da der Schadcode trotz gültiger digitaler Signaturen in der Firmware steckt, liegt der Verdacht nahe, dass Angreifer die Lieferkette bereits während der Entwicklung oder beim Kompilieren des Betriebssystems kompromittiert haben.

Technisch gesehen ist Keenadu ein Albtraum für die Privatsphäre. Die Malware nistet sich im Zygote-Prozess ein, der als Mutterprozess für jede gestartete App unter Android dient. Dadurch kann der Schädling quasi jede Anwendung auf dem Gerät manipulieren, Suchanfragen im Browser umleiten oder sogar die Gesichtserkennung für den Entsperrvorgang kapern. Besonders perfide: Der Code überwacht Suchbegriffe in Chrome selbst dann, wenn der Nutzer den Inkognito-Modus verwendet. Derzeit nutzen die Hintermänner die weltweit über 13.000 infizierten Geräte primär für Werbebetrug, doch die Fernsteuerung erlaubt jederzeit den Diebstahl von Banking-Daten oder Passwörtern.

Google hat auf den Bericht reagiert und betont, dass Play Protect bekannte Varianten von Keenadu automatisch erkennt und blockiert. Drei infizierte Apps wurden bereits aus dem offiziellen Store geworfen. Dennoch bleibt das Grundproblem bestehen: Da die Backdoor in der Firmware sitzt, lässt sie sich durch einen einfachen Werksreset nicht entfernen. Betroffenen Nutzern in Deutschland, Japan oder Russland bleibt oft nur die Hoffnung auf ein sauberes Firmware-Update vom Hersteller oder der komplette Verzicht auf das Gerät. Das Vertrauen in günstige Import-Hardware dürfte nach diesem Vorfall nachhaltig erschüttert sein.

“Android users are automatically protected from known versions of this malware by Google Play Protect, which is on by default on Android devices with Google Play Services. Google Play Protect can warn users and disable apps known to exhibit Keenadu associated behavior, even when those apps come from sources outside of Play. As a best security practice, we recommend users ensure their device is Play Protect certified.”

Google

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert