Eine neue Android-Malware ist tief in der Firmware von Dutzenden Billig-Tablets verankert und bedroht Nutzer in 40 Ländern, darunter Deutschland. Die Schadsoftware namens Keenadu ist kaum zu entfernen und gibt Angreifern fast vollständige Kontrolle.

Das geht aus einem aktuellen Bericht der Sophos Counter Threat Unit hervor, der am 26. März 2026 veröffentlicht wurde. Die Experten warnen vor einer kritischen Schwachstelle in der Lieferkette: Die Malware wird bereits im Werk auf den Geräten installiert. Betroffen sind etwa 50 verschiedene Modelle günstiger Android-Tablets, die auch auf dem europäischen Markt kursieren. Erstmals analysiert wurde Keenadu bereits im Februar 2026 von Kaspersky.

Anzeige

Angesichts versteckter Gefahren direkt ab Werk ist ein proaktiver Schutz Ihres Geräts unerlässlich. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie mit fünf einfachen Schritten Ihr Android-Smartphone effektiv gegen Datendiebe absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Für Verbraucher, die auf preiswerte Technik setzen, ist das ein Alarmsignal. Die Malware agiert mit Systemrechten und ist damit für normale Antiviren-Apps nahezu unsichtbar. Ein vollständiges Entfernen ist nur durch ein komplettes Neuflashen der Geräte-Firmware möglich.

Tief verwurzelt: Warum Keenadu so gefährlich ist

Das Besondere an Keenadu ist seine Verankerung. Es handelt sich nicht um eine nachträglich heruntergeladene App, sondern um einen tief in der Geräte-Firmware verankerten Backdoor. Die Schadsoftware injiziert sich in einen Kernprozess des Android-Betriebssystems namens Zygote. Selbst gültige digitale Signaturen auf den infizierten Firmware-Images deuten darauf hin, dass der bösartige Code wahrscheinlich während des Software-Entwicklungsprozesses eingeschleust wurde.

„Das ist ein Kompromittieren der Lieferkette, keine Infektion nach dem Kauf“, stellen die Sophos-Experten klar. Die Malware bleibt nach der Aktivierung des Geräts etwa zweieinhalb Monate versteckt, bevor sie ihre schädlichen Aktivitäten startet – eine Taktik, die die Früherkennung enorm erschwert.

Vom Ad-Betrug zum Datenklau: Das kann Keenadu

Der primäre Zweck von Keenadu scheint aktuell Betrug mit Werbeanzeigen zu sein. Die Malware klickt heimlich auf Anzeigen in versteckten Containern, kapert Browsereinstellungen oder installiert unerwünschte Apps. Laut Sophos wurden dabei auch Apps von großen Plattformen wie Shein, Temu, Amazon, YouTube und Facebook missbraucht.

Anzeige

Ob Online-Shopping oder Banking – regelmäßige Sicherheitschecks und die richtige Konfiguration sind der beste Schutz gegen bösartige Hintertüren. Sichern Sie sich jetzt das kostenlose Sicherheitspaket mit praktischen Checklisten für geprüfte Apps und wichtige Updates. Kostenlosen Android-Sicherheits-Leitfaden anfordern

Die eigentliche Gefahr liegt jedoch in den umfassenden Fähigkeiten. Keenadu ist ein voll funktionsfähiger Backdoor, der Angreifern nahezu totale Kontrolle über das infizierte Gerät verschafft. Zwar wurde noch kein Diebstahl von Zugangsdaten beobachtet, doch Experten warnen: Diese Entwicklung ist nur eine Frage der Zeit. Keenadu teilt Code- und Infrastruktur-Ähnlichkeiten mit berüchtigten Vorgängern wie Triada und BADBOX, die sich zu Datenklau-Maschinen weiterentwickelten.

Ein globales Problem: Wer ist betroffen?

Die Infektionen erstrecken sich über 40 Länder. Telemetriedaten zeigen, dass auch Geräte in Deutschland und den Niederlanden betroffen sind. Das Problem konzentriert sich auf den Markt für extrem günstige, oft unbekannte oder weißgelabelte Android-Tablets. Die Einführung der Malware auf Firmware-Ebene legt einen Kompromiss bei einem Zulieferer oder in einer Entwicklungsumgebung nahe.

Für europäische Verbraucher ist das Risiko real. Die Geräte sind bei Online-Marktplätzen und in Elektronikmärkten leicht erhältlich. Einmal infiziert, kann Keenadu jede App kompromittieren, weitere Programme installieren und alle Berechtigungen erlangen. Das bedeutet: Angreifer könnten auf alle Informationen zugreifen – von privaten Fotos über Nachrichten bis hin zu Banking-Daten. Auffällig ist eine regionale Ausnahme: Keenadu bleibt inaktiv, wenn eine chinesische Sprache oder Zeitzone eingestellt ist, was auf einen möglichen Ursprung hindeutet.

Schutzmaßnahmen: Was Nutzer tun können

Google reagiert auf die Bedrohung. Google Play Protect, der standardmäßig aktivierte Schutzmechanismus auf Geräten mit Google Play Diensten, soll bekannte Versionen der Malware erkennen und deaktivieren – auch bei Apps von Drittquellen. Bösartige Apps aus dem Kaspersky-Bericht wurden bereits aus dem Play Store entfernt.

Nutzer sollten dennoch aktiv werden:
* Zertifizierung prüfen: Beim Kauf auf die Google Play Protect-Zertifizierung achten.
* Updates einspielen: Verfügbare Firmware-Updates sofort installieren, da Hersteller an bereinigten Versionen arbeiten.
* Security-Software nutzen: Eine aktuelle Echtzeit-Anti-Malware-Lösung kann zusätzlichen Schutz bieten.
* Berechtigungen hinterfragen: Besonders kritisch sind Anfragen für Zugriff auf Barrierefreiheit, SMS oder Kamera.

Hintergrund: Ein alter Trend mit neuer Wucht

Keenadu ist kein Einzelfall. Seit Jahren tauchen immer wieder Varianten von vorinstallierter Malware in Billig-Android-Geräten auf. Der wirtschaftliche Antrieb ist meist Werbebetrug, der Cyberkriminellen illegale Einnahmen beschert. Die Komplexität dieser Angriffe, die die Lieferkette kompromittieren, macht die Bekämpfung besonders schwierig.

Für europäische Verbraucherschützer und Regulierungsbehörden stellt dies eine große Herausforderung dar. Die weite Verbreitung der betroffenen Geräte unterstreicht die Notwendigkeit einer strengeren Überwachung von Herstellern und Händlern preiswerter Elektronik. Die Zusammenarbeit zwischen Sicherheitsforschern, Plattformanbietern wie Google und Geräteherstellern wird entscheidend sein, um bezahlbare Technik nicht auf Kosten der Privatsphäre anzubieten.