Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware Keenadu Backdoor

Keenadu Backdoor

Von Mezo in Mobile Malware, Hintertür-Viren
Übersetzen Sie in:

Eine ausgeklügelte Android-Hintertür namens Keenadu wurde tief in der Geräte-Firmware entdeckt. Sie ermöglicht das unbemerkte Sammeln von Daten und die Fernsteuerung infizierter Systeme. Sicherheitsforscher entdeckten die Bedrohung in Firmware mehrerer Hersteller, darunter Alldocube. Beweise deuten darauf hin, dass die Kompromittierung während der Firmware-Erstellungsphase erfolgte. Keenadu ist mindestens seit dem 18. August 2023 in der Firmware des Alldocube iPlay 50 mini Pro vorhanden.

In allen bestätigten Fällen befand sich der Schadcode in Firmware-Images von Tablets mit gültigen digitalen Signaturen, was die Wahrscheinlichkeit einer Kompromittierung der Lieferkette erhöht. Einige infizierte Firmware-Pakete wurden über Over-the-Air-Updates (OTA) verteilt. Nach der Installation nistet sich die Hintertür beim Start jeder Anwendung in den Speicher ein und fungiert als mehrstufiger Loader, der Angreifern uneingeschränkte Fernsteuerung über das Gerät ermöglicht.

Telemetriedaten zeigen, dass weltweit 13.715 Nutzer mit Keenadu oder zugehörigen Modulen in Kontakt gekommen sind. Die höchste Infektionsdichte wurde in Russland, Japan, Deutschland, Brasilien und den Niederlanden beobachtet.

Tiefgreifende Systemmanipulation: Ausnutzung von Android-Kernprozessen

Keenadu wurde Ende Dezember 2025 öffentlich bekannt gegeben und als Hintertür in libandroid_runtime.so beschrieben, einer kritischen Shared Library, die während des Android-Bootvorgangs geladen wird. Nach der Aktivierung injiziert sich die Malware in den Zygote-Prozess – ein Verhalten, das bereits bei der Android-Malware Triada beobachtet wurde.

Die schädliche Routine wird durch eine in libandroid_runtime.so eingefügte Funktion ausgelöst. Sie prüft zunächst, ob sie in Systemanwendungen ausgeführt wird, die mit Google-Diensten oder Mobilfunkanbietern wie Sprint und T-Mobile verbunden sind; falls ja, wird die Ausführung gestoppt. Ein integrierter Kill-Switch beendet die Malware zudem, sobald bestimmte Dateinamen in Systemverzeichnissen erkannt werden.

Die Hintertür prüft anschließend, ob sie innerhalb des privilegierten Systemserverprozesses operiert, der die Kernfunktionen des Systems steuert und von Zygote beim Systemstart gestartet wird. Abhängig von der Umgebung initialisiert die Malware eine von zwei Komponenten:

  • AKServer, das die zentrale Befehls- und Kontrolllogik (C2) und die Ausführungs-Engine enthält.
  • AKClient wird in jede gestartete Anwendung eingebunden und fungiert als Kommunikationsbrücke zu AKServer.

Diese Architektur ermöglicht es Angreifern, Schadsoftware an spezifische Anwendungen anzupassen. Die Serverkomponente kann App-Berechtigungen erteilen oder entziehen, Geodaten abrufen und Geräteinformationen exfiltrieren. Zusätzliche Sicherheitsvorkehrungen stellen sicher, dass die Schadsoftware beendet wird, wenn die Gerätesprache auf Chinesisch eingestellt ist und sich die Schadsoftware in einer chinesischen Zeitzone befindet oder wenn der Google Play Store bzw. die Google Play-Dienste nicht verfügbar sind.

Sobald die Betriebskriterien erfüllt sind, entschlüsselt Keenadu seine C2-Adresse und übermittelt verschlüsselte Gerätemetadaten. Der Server antwortet mit einer verschlüsselten JSON-Konfiguration, die die verfügbaren Nutzdaten detailliert beschreibt. Um einer Entdeckung zu entgehen und die Analyse zu erschweren, verzögert die Hintertür die Nutzdatenauslieferung um etwa zweieinhalb Monate nach der ersten Geräteanmeldung. Die Angreifer nutzen Alibaba Cloud als Infrastruktur für die Inhaltsbereitstellung.

Schädliche Module: Monetarisierung, Hijacking und Anzeigenbetrug

Keenadu fungiert als modulare Malware-Plattform, die verschiedene spezialisierte Komponenten einsetzen kann. Zu den identifizierten Modulen gehören die folgenden:

  • Keenadu Loader zielt auf beliebte E-Commerce-Plattformen wie Amazon, Shein und Temu ab und ermöglicht potenziell die unbefugte Manipulation von Warenkörben.
  • Clicker Loader wurde in Anwendungen wie YouTube, Facebook, Google Digital Wellbeing und den Android-System-Launcher eingeschleust, um auf betrügerische Weise mit Werbeelementen zu interagieren.
  • Google Chrome Modul, das auf Google Chrome abzielt, um Suchanfragen abzufangen und an alternative Suchmaschinen umzuleiten, wobei die Autovervollständigung den Abfangversuch manchmal stören kann.
  • Nova Clicker ist in die Systemhintergrundbildauswahl integriert und nutzt maschinelles Lernen und WebRTC, um mit Werbeinhalten zu interagieren. Diese Komponente wurde zuvor von Doctor Web unter dem Codenamen Phantom analysiert.
  • Installieren Sie das Monetarisierungsmodul, das im System-Launcher integriert ist, um durch die falsche Zuordnung von Anwendungsinstallationen betrügerische Werbeeinnahmen zu generieren.
  • Google Play-Modul, das die Google Ads-Werbe-ID abruft und sie unter dem Schlüssel 'S_GA_ID3' für modulübergreifendes Tracking und Opferidentifizierung speichert.

Während der aktuelle operative Schwerpunkt auf Werbebetrug liegt, birgt die Flexibilität des Frameworks ein erhebliches Potenzial für den Diebstahl von Zugangsdaten und die Ausweitung betrügerischer Operationen in der Zukunft.

Erweiterung der Vertriebskanäle und Ökosystemverbindungen

Neben der Implementierung auf Firmware-Ebene wurden weitere Verbreitungswege beobachtet. Der Keenadu-Loader wurde in Kernsystemanwendungen wie Gesichtserkennungsdienste und Launcher eingebettet. Ähnliche Taktiken wurden zuvor mit Dwphon in Verbindung gebracht, das auf OTA-Update-Mechanismen abzielte.

Eine weitere beobachtete Methode besteht darin, Systeme auszunutzen, die bereits durch eine separate, vorinstallierte Hintertür, ähnlich wie BADBOX, kompromittiert sind. Es wurden auch Infrastrukturüberschneidungen zwischen Triada und BADBOX festgestellt, was auf eine Zusammenarbeit des Botnetzes hindeutet. Im März 2025 traten weitere Verbindungen zwischen BADBOX und Vo1d auf, die es auf Android-TV-Geräte unbekannter Hersteller abgesehen hatten.

Keenadu wurde auch über mit Trojanern manipulierte Smart-Kamera-Apps verbreitet, die von Hangzhou Denghong Technology Co., Ltd. im Google Play Store veröffentlicht wurden. Zu den betroffenen Apps gehörten:

  • Eoolii (com.taismart.global) – über 100.000 Downloads
  • Ziicam (com.ziicam.aws) – über 100.000 Downloads
  • Eyeplus – Ihr Zuhause in Ihren Augen (com.closeli.eyeplus) – über 100.000 Downloads

Diese Anwendungen wurden inzwischen aus Google Play entfernt. Entsprechende Versionen wurden auch im Apple App Store veröffentlicht; die iOS-Varianten enthielten jedoch keinen Schadcode, was die Annahme bestärkt, dass Keenadu speziell für Android-Tablets entwickelt wurde.

Sicherheitsimplikationen: Eine Bedrohung für das Kernvertrauensmodell von Android

Keenadu stellt aufgrund seiner Integration in libandroid_runtime.so eine erhebliche Bedrohung dar, da es dadurch im Kontext jeder Anwendung ausgeführt werden kann. Dies untergräbt effektiv das Sandboxing-Modell von Android und ermöglicht den verdeckten Zugriff auf alle Gerätedaten.

Durch die Fähigkeit, Standardberechtigungskontrollen zu umgehen, verwandelt sich die Malware in eine vollwertige Hintertür mit uneingeschränkten Systemrechten. Die ausgefeilte Implementierung zeugt von fundierten Kenntnissen der Android-Architektur, des Anwendungslebenszyklusmanagements und zentraler Sicherheitsmechanismen.

Keenadu zeichnet sich als umfangreiche und hochkomplexe Malware-Plattform aus, die eine dauerhafte und flexible Kontrolle über kompromittierte Geräte ermöglicht. Obwohl sie derzeit hauptsächlich für Werbebetrug eingesetzt wird, deutet ihre komplexe Architektur auf ein erhebliches Risiko einer Eskalation hin zu Zugangsdatendiebstahl und umfassenderen Cyberkriminalitätsoperationen hin.

Im Trend

Am häufigsten gesehen

Wird geladen...