Sicherheitsforscher finden Backdoor in Firmware
Android-Tablets mit vorinstallierter Malware entdeckt
Sicherheitsforscher berichten von einer Schadsoftware, die bereits in der Firmware bestimmter Android-Tablets integriert gewesen sein soll. Google verweist auf Schutzmechanismen durch Google Play Protect.
Sicherheitsforscher von Kaspersky haben nach eigenen Angaben eine neue Android-Backdoor mit dem Namen „Keenadu“ entdeckt. Die Schadsoftware soll nicht erst nach dem Kauf über Apps oder Downloads auf die Geräte gelangt sein, sondern bereits während des Firmware-Build-Prozesses in bestimmte Tab...
Sicherheitsforscher von Kaspersky haben nach eigenen Angaben eine neue Android-Backdoor mit dem Namen „Keenadu“ entdeckt. Die Schadsoftware soll nicht erst nach dem Kauf über Apps oder Downloads auf die Geräte gelangt sein, sondern bereits während des Firmware-Build-Prozesses in bestimmte Tablets integriert worden sein.
Wie aus einem Bericht von Help Net Security hervorgeht, seien Geräte verschiedener Marken betroffen. Die Manipulation habe demnach auf Firmware-Ebene stattgefunden, also tief im System verankert, noch bevor die Tablets an Kundinnen und Kunden ausgeliefert wurden.
Eingriff in zentralen Systemprozess
Laut den Forschern klinkt sich Keenadu in den sogenannten Zygote-Prozess von Android ein. Dieser zentrale Systemprozess startet jede App auf dem Gerät. Durch diese Position im System erhalte die Backdoor weitreichende Zugriffsrechte auf laufende Anwendungen und gespeicherte Daten.
Die Schadsoftware soll außerdem zusätzliche Module aus dem Internet nachladen können. Diese sollen unter anderem Suchanfragen im Browser umleiten, App-Installationen erfassen und mit Werbeelementen interagieren. Durch die Verankerung im System unterscheidet sich Keenadu von gewöhnlicher Malware, die meist nur auf App-Ebene agiert.
Konkretes Beispiel: Alldocube iPlay 50 mini Pro
Als konkreten Fall nennen die Forscher Firmware-Dateien für das Tablet Alldocube iPlay 50 mini Pro. Jede untersuchte Version habe die Backdoor enthalten – auch solche, die nach ersten Hinweisen auf die Malware veröffentlicht worden seien.
Die betreffenden Firmware-Images seien mit gültigen digitalen Signaturen versehen gewesen. Das spreche laut Bericht gegen eine nachträgliche Manipulation einzelner Updates. Stattdessen deuten die Erkenntnisse auf eine mögliche Kompromittierung innerhalb der Lieferkette hin. Dabei könnte schädlicher Code bereits während der Entwicklung oder beim Erstellen der Firmware eingeschleust worden sein.
Google: Schutz durch Play Protect
Nach Veröffentlichung der Untersuchung erklärte ein Google-Sprecher gegenüber Android Authority, Android-Nutzer seien automatisch vor bekannten Varianten der Malware geschützt. Google Play Protect sei auf Geräten mit Google Play Services standardmäßig aktiviert.
Google zufolge könne Play Protect auch Apps erkennen und deaktivieren, die ein mit Keenadu in Verbindung gebrachtes Verhalten zeigen – auch wenn diese aus anderen Quellen als dem Google Play Store stammen. Drei im Bericht genannte schädliche Apps, die mit Keenadu in Verbindung gebracht wurden, seien inzwischen aus dem Play Store entfernt worden.
Als Sicherheitsmaßnahme empfiehlt Google, zu prüfen, ob das eigene Gerät Play-Protect-zertifiziert ist.
