Antivirusbedrijf Kaspersky heeft in de firmware van verschillende Androidtablets een backdoor gevonden die aanvallers volledige controle over het apparaat. geeft. De backdoor wordt Keenadu genoemd en maakt het mogelijk voor aanvallers om bijvoorbeeld apps op het besmette apparaat te installeren en die elke willekeurige permissie te geven, advertentiefraude te plegen en allerlei gegevens te stelen, van chatberichten tot wachtwoorden.

Onder de getroffen tablets bevinden zich verschillende modellen van fabrikant Alldocube, maar de malware is ook in de hardware van andere fabrikanten gevonden. De namen van deze partijen zijn niet door Kaspersky bekendgemaakt. Wel zegt de virusbestrijder deze bedrijven te hebben gewaarschuwd. Kaspersky detecteerde 13.000 Android-apparaten die met de backdoor zijn besmet. Onder de landen met de meeste infecties bevindt zich ook Nederland.

Volgens de onderzoekers zijn de getroffen tabletfabrikanten het doelwit van een supplychain-aanval geworden waarbij er een malafide library aan de firmware werd toegevoegd die zich in allerlei processen injecteert. In verschillende gevallen bleek dat de besmette firmware via een OTA (over-the-air) update werd verspreid. Eenmaal actief communiceert de backdoor met een command & control-server. De aanvallers kunnen vervolgens allerlei opdrachten aan de besmette tablets geven.

"Keenadu is een grootschalig, complex malware-platform dat aanvallers onbeperkte controle over het apparaat van het slachtoffer geeft", aldus Kaspersky. Op dit moment wordt de backdoor voornamelijk gebruikt voor verschillende vormen van advertentiefraude, maar de onderzoekers sluiten niet uit dat de malware in de toekomst ook inloggegevens zal stelen. Details over de vermoedelijke supplychain-aanval waardoor de infecties konden ontstaan zijn niet beschikbaar.

Volgens Kaspersky kan het dat de betreffende tabletfabrikanten niet wisten dat hun apparaten waren besmet toen ze op de markt kwamen. De onderzoekers waarschuwden dat de malware niet te verwijderen is zonder dat de firmware van het apparaat beschadigd raakt. De tablet stopt dan met werken. "Het is daarom onmogelijk om de dreiging door middel van standaard Android OS-tools te verwijderen." Totdat de besmette firmware is vervangen of bijgewerkt wordt aangeraden de besmette tablets niet te gebruiken.