Keenadu-Malware infiziert Android-Geräte in der Lieferkette

Cybersicherheitsexperten haben eine weit verbreitete Verteilung der Keenadu-Malware auf neuen Android-Geräten festgestellt. Laut Kaspersky Lab wurde die Infektion bei etwa 13.000 Smartphones nachgewiesen, mit den meisten Fällen in Russland. Auch in Japan, Deutschland, Brasilien und den Niederlanden wurden Vorfälle registriert.

Diese Bedrohung fällt auf, weil einige Geräte bereits vor dem Verkauf infiziert wurden – während der Lieferkette. Analysten gehen davon aus, dass die Schadsoftware sich in der Firmware während der Gerätevorbereitung versteckte und sich als Systemkomponenten tarnte. Das Hauptziel von Keenadu ist Ad-Betrug. Infizierte Smartphones werden als Bots genutzt, um automatisch Klicks auf Werbelinks zu generieren. Solche Schemata bringen den Kriminellen Experten zufolge Einnahmen in Millionenhöhe ein.

In der Praxis handelt es sich um ein hochprofitables kriminelles Geschäft, bei dem größere Botnetze zu höheren Einnahmen führen. Yulia Lipatnikova, eine Geschäftspartnerin im Bereich Cybersicherheit bei Cloud.ru, merkte an, dass die Gewinne aus einer einzigen Kampagne Millionen Dollar erreichen können, was die Kosten für den Aufbau des Schemas leicht deckt.

Die Funktionalität von Keenadu beschränkt sich nicht auf Werbung. In einigen Varianten ermöglicht das Virus die vollständige Kontrolle über das Gerät, einschließlich der Installation von Drittanbieter-Apps, der Infektion anderer Programme und des Diebstahls persönlicher Daten. Gefährdet sind Fotos, Videos, Nachrichten, Bankinformationen und Standortdaten. Zudem kann die Malware Suchanfragen in Google Chrome verfolgen, selbst im Inkognito-Modus.

Experten beobachteten auch ungewöhnliches Verhalten des Virus. Keenadu aktiviert sich nicht, wenn das Gerät auf eine chinesische Zeitzone eingestellt ist, einen chinesischen Dialekt verwendet oder keine Google-Dienste verfügbar sind. Neben Infektionen in der Lieferkette verbreitete sich die Schadsoftware über Apps. Zuvor wurden infizierte Kamerapps im offiziellen Google Play Store entdeckt, mit insgesamt über 300.000 Downloads. Diese Apps wurden entfernt, doch Nutzer haben möglicherweise nicht bemerkt, dass das Öffnen versteckte Browser-Tabs zur Interaktion mit Werbeelementen auslöste.

Insgesamt unterstreicht dieser Vorfall die Risiken, sich allein auf Überprüfungen in App-Stores zu verlassen. Nikolai Anisenya, Leiter der Entwicklung bei PT MAZE Positive Technologies, wies darauf hin, dass selbst offizielle Quellen für die Verbreitung von Malware genutzt werden können, einschließlich bösartiger Klone legitimer Apps.