Sicherheitsforscher von Kaspersky warnen vor der Android-Malware „Keenadu“, die in mehreren Varianten entdeckt wurde: teils als infizierte App aus App-Stores (inklusive Google Play), teils in System-Apps und in besonders kritischen Fällen sogar direkt in der Firmware bestimmter Geräte. Seit Februar 2026 wurden laut Kaspersky weltweit rund 13.000 bis 13.700 Infektionen registriert, Deutschland zählt dabei zu den am stärksten betroffenen Ländern.
Bild: Keenadu Malware auf Android: Verdächtige Apps erkennen, Play Protect prüfen und dein Gerät vor Backdoor-Risiken schützen.
Was über die Verbreitung der Keenadu Malware bekannt ist
Kaspersky beschreibt 3 Verbreitungswege, die man getrennt betrachten sollte, weil daraus unterschiedliche Risiken und Maßnahmen folgen:
Details zu den Varianten und den bisherigen Funden beschreibt der Kaspersky-Bericht.
Warum Keenadu mehr ist als nur nervige Werbung
Keenadu wird aktuell vor allem mit Werbebetrug in Verbindung gebracht. Das klingt harmloser, als es ist: Versteckte Webaufrufe bedeuten nicht nur Datenverbrauch und Akkuverlust, sondern auch, dass auf dem Gerät Vorgänge stattfinden, die du nicht kontrollierst.
Zusätzlich wird bei bestimmten Varianten ausdrücklich von einer Backdoor gesprochen. Damit sind deutlich weitergehende Möglichkeiten gemeint: Die Malware kann je nach Infektionsweg zusätzliche Apps aus APK-Dateien nachladen, ihnen Berechtigungen geben und vorhandene Apps kompromittieren. In den Analysen werden dabei sensible Datenbereiche genannt – von Medien und Nachrichten bis hin zu Standortdaten und Banking-Zugangsdaten. Kaspersky erwähnt außerdem, dass je nach Variante sogar Suchanfragen im Inkognito-Modus von Chrome überwacht werden können.
Ein technisches Detail, das in den Berichten ebenfalls auftaucht: Die Firmware-Variante kann sich abhängig von Geräteeinstellungen unterschiedlich verhalten, etwa inaktiv bleiben, wenn Sprache und Zeitzone auf bestimmte chinesische Einstellungen hindeuten. Außerdem startet sie laut Kaspersky nicht, wenn Google Play Store und Google Play Services fehlen. Das ist keine Entwarnung, erklärt aber, warum sich das Verhalten nicht auf jedem Gerät identisch zeigen muss.
Welche Geräte und Apps besonders im Fokus stehen
Wichtig: Es gibt keinen seriösen Stand, der „alle Android-Handys“ betrifft. Die Funde deuten eher auf eine Kombination aus Lieferkette, bestimmten Firmware-Versionen und konkreten Apps.
Besonders aufmerksam sollten Nutzer sein, die ein sehr günstiges Android-Tablet oder ein Gerät mit unklarer Update-Politik nutzen, vor allem, wenn es sich um Importware oder No-Name-Hardware handelt. In Berichten werden als Beispiel Tablets des Herstellers Alldocube genannt, bei denen der Schadcode in einer Systembibliothek (libandroid_runtime.so) eingebettet gewesen sein soll.
Bei den App-Funden ging es unter anderem um Smart-Home-Kamera-Apps; als Beispiele werden die Namen Eoolii, Ziicam und Eyeplus genannt. Dass solche Apps über Google Play verteilt wurden, ist dabei kein „Play Store ist unsicher“-Signal, sondern ein Hinweis darauf, dass selbst offizielle Kanäle nicht jede Manipulation im Vorfeld zuverlässig abfangen. Immerhin: Google Play Protect soll bekannte Versionen erkennen und warnen, und die betroffenen Apps wurden nachträglich entfernt.
So erkennst du verdächtige Apps auf deinem Android-Gerät
Du brauchst dafür keine Spezialtools und auch keine halbe Stunde Lebenszeit. Ziel ist eine schnelle, belastbare Einschätzung, ob auf dem Gerät etwas aus dem Rahmen fällt.
Der erste Blick gehört der App-Liste. Öffne die App-Übersicht bzw. die Einstellungen unter „Apps“ und prüfe, ob du Anwendungen findest, die du nicht bewusst installiert hast, besonders in Kategorien wie Kamera, Smart Home, Tools oder „System“. Verdächtig sind vor allem generisch benannte Apps ohne klare Herstellerzuordnung oder Apps, die wie Systemkomponenten aussehen, aber keinen nachvollziehbaren Zweck haben.
Als nächstes sind Berechtigungen entscheidend. In den App-Details solltest du bei auffälligen Kandidaten auf folgende Punkte achten: Verlangt die App Zugriffe, die für ihre Funktion keinen Sinn ergeben? Bei Smart-Home- oder Kamera-Apps sind Kamera- und Netzwerkzugriff nachvollziehbar, aber Zugriffe wie Bedienungshilfen, „über anderen Apps einblenden“ oder Administratorrechte sind Warnsignale, wenn du sie nicht bewusst eingerichtet hast.
Einen guten Hinweis liefert außerdem der Datenverbrauch. Unter „Netzwerk und Internet“ bzw. „Datennutzung“ siehst du, welche Apps im Hintergrund auffällig viel Traffic verursachen. Wenn eine App, die du kaum nutzt, regelmäßig weit oben steht, passt das zu typischen Mustern von Hintergrundaktivitäten. Das ist kein Beweis, aber ein sauberer Grund, genauer hinzusehen.
Zum Schluss kommt der schnelle Sicherheitscheck über Google. Im Play Store kannst du Play Protect manuell starten. Das ist keine forensische Untersuchung, aber der schnellste Basischeck gegen bekannte Varianten. Gleichzeitig lohnt ein Blick in die Update-Stände: Android-Sicherheitsupdates und das Google Play-Systemupdate sind zwei getrennte Dinge, beide sollten aktuell sein.
Was du bei Verdacht tun solltest
Fällt der Verdacht klar auf eine normale App, ist die Vorgehensweise meist unkompliziert: App deinstallieren, danach mit Play Protect (und optional einer etablierten Security-App) scannen und bei Apps mit Account-Bezug die Zugangsdaten ändern. Bei Smart-Home-Kamera-Apps gehört dazu auch, das Passwort des zugehörigen Kontos zu wechseln und, falls verfügbar, Zwei-Faktor-Authentifizierung zu aktivieren.
Bei System-Apps oder dem Launcher ist „einfach löschen“ selten eine gute Idee. Sinnvoller ist es, die betreffende Komponente, sofern möglich, zu deaktivieren und auf Hersteller-Updates zu achten. Eingriffe an Systemkomponenten ohne saubere Grundlage führen sonst schnell zu neuen Problemen, ohne das ursprüngliche sicher zu lösen.
Deuten Hinweise in Richtung Firmware, wird es leider technischer: Dann braucht es ein bereinigtes Firmware-Update vom Hersteller, weil eine tiefe Integration nicht mit normalen App-Maßnahmen verschwindet. Ein Werksreset kann in so einem Szenario wirkungslos sein, weil er die gleiche Basis wiederherstellt. Bis zur Klärung sollte das Gerät nicht für sensible Konten genutzt werden, besonders nicht für Banking, Passwortmanager oder geschäftliche Logins.
Keenadu Malware auf Android erkennen und das Risiko senken
Keenadu ist vor allem deshalb relevant, weil die Funde zeigen, dass Android-Schadsoftware nicht nur als klassische „böse App“ auftauchen kann, sondern auch über System-Apps und im Extremfall über Firmware. Wer ein Gerät mit schwacher Update-Versorgung nutzt oder bei Apps aus dem Smart-Home-Kamera-Umfeld unsicher ist, sollte kurz prüfen: App-Liste, Berechtigungen, Spezialzugriffe, Datennutzung sowie Play Protect und Update-Stand. Das kostet wenige Minuten, liefert aber schnell Klarheit, ob Handlungsbedarf besteht.
Bild: Keenadu Malware auf Android: Verdächtige Apps erkennen, Play Protect prüfen und dein Gerät vor Backdoor-Risiken schützen.
Was über die Verbreitung der Keenadu Malware bekannt ist
Kaspersky beschreibt 3 Verbreitungswege, die man getrennt betrachten sollte, weil daraus unterschiedliche Risiken und Maßnahmen folgen:
- Firmware-Variante: In besonders kritischen Fällen steckt Keenadu bereits in der Firmware bestimmter Geräte. Dann kann der Schadcode sehr früh beim Start aktiv werden und sich in zentrale Android-Prozesse einklinken (unter anderem über den „Zygote“-Mechanismus). Dadurch ist eine Entfernung je nach Fall deutlich schwieriger als bei einer normalen App-Infektion.
- System-App- oder Launcher-Variante: Weitere Funde betreffen Systemanwendungen, die naturgemäß mehr Rechte besitzen als normale Apps. Kaspersky nennt unter anderem eine Systemanwendung rund um das Entsperren per Gesichtserkennung sowie in Einzelfällen Komponenten der Startbildschirm-Oberfläche (Launcher).
- App-Variante aus Stores: Zusätzlich wurden infizierte Apps in App-Stores entdeckt, darunter auch über Google Play verteilte Smart-Home-Kamera-Apps. Diese Anwendungen kamen zusammen auf über 300.000 Downloads und wurden später entfernt. In dieser Variante wurde beschrieben, dass im Hintergrund unsichtbare Browser-Tabs geöffnet werden können, um unbemerkt Webseiten aufzurufen (typisch für Werbebetrug und Traffic-Manipulation).
Details zu den Varianten und den bisherigen Funden beschreibt der Kaspersky-Bericht.
Warum Keenadu mehr ist als nur nervige Werbung
Keenadu wird aktuell vor allem mit Werbebetrug in Verbindung gebracht. Das klingt harmloser, als es ist: Versteckte Webaufrufe bedeuten nicht nur Datenverbrauch und Akkuverlust, sondern auch, dass auf dem Gerät Vorgänge stattfinden, die du nicht kontrollierst.
Zusätzlich wird bei bestimmten Varianten ausdrücklich von einer Backdoor gesprochen. Damit sind deutlich weitergehende Möglichkeiten gemeint: Die Malware kann je nach Infektionsweg zusätzliche Apps aus APK-Dateien nachladen, ihnen Berechtigungen geben und vorhandene Apps kompromittieren. In den Analysen werden dabei sensible Datenbereiche genannt – von Medien und Nachrichten bis hin zu Standortdaten und Banking-Zugangsdaten. Kaspersky erwähnt außerdem, dass je nach Variante sogar Suchanfragen im Inkognito-Modus von Chrome überwacht werden können.
Ein technisches Detail, das in den Berichten ebenfalls auftaucht: Die Firmware-Variante kann sich abhängig von Geräteeinstellungen unterschiedlich verhalten, etwa inaktiv bleiben, wenn Sprache und Zeitzone auf bestimmte chinesische Einstellungen hindeuten. Außerdem startet sie laut Kaspersky nicht, wenn Google Play Store und Google Play Services fehlen. Das ist keine Entwarnung, erklärt aber, warum sich das Verhalten nicht auf jedem Gerät identisch zeigen muss.
Welche Geräte und Apps besonders im Fokus stehen
Wichtig: Es gibt keinen seriösen Stand, der „alle Android-Handys“ betrifft. Die Funde deuten eher auf eine Kombination aus Lieferkette, bestimmten Firmware-Versionen und konkreten Apps.
Besonders aufmerksam sollten Nutzer sein, die ein sehr günstiges Android-Tablet oder ein Gerät mit unklarer Update-Politik nutzen, vor allem, wenn es sich um Importware oder No-Name-Hardware handelt. In Berichten werden als Beispiel Tablets des Herstellers Alldocube genannt, bei denen der Schadcode in einer Systembibliothek (libandroid_runtime.so) eingebettet gewesen sein soll.
Bei den App-Funden ging es unter anderem um Smart-Home-Kamera-Apps; als Beispiele werden die Namen Eoolii, Ziicam und Eyeplus genannt. Dass solche Apps über Google Play verteilt wurden, ist dabei kein „Play Store ist unsicher“-Signal, sondern ein Hinweis darauf, dass selbst offizielle Kanäle nicht jede Manipulation im Vorfeld zuverlässig abfangen. Immerhin: Google Play Protect soll bekannte Versionen erkennen und warnen, und die betroffenen Apps wurden nachträglich entfernt.
So erkennst du verdächtige Apps auf deinem Android-Gerät
Du brauchst dafür keine Spezialtools und auch keine halbe Stunde Lebenszeit. Ziel ist eine schnelle, belastbare Einschätzung, ob auf dem Gerät etwas aus dem Rahmen fällt.
Der erste Blick gehört der App-Liste. Öffne die App-Übersicht bzw. die Einstellungen unter „Apps“ und prüfe, ob du Anwendungen findest, die du nicht bewusst installiert hast, besonders in Kategorien wie Kamera, Smart Home, Tools oder „System“. Verdächtig sind vor allem generisch benannte Apps ohne klare Herstellerzuordnung oder Apps, die wie Systemkomponenten aussehen, aber keinen nachvollziehbaren Zweck haben.
Als nächstes sind Berechtigungen entscheidend. In den App-Details solltest du bei auffälligen Kandidaten auf folgende Punkte achten: Verlangt die App Zugriffe, die für ihre Funktion keinen Sinn ergeben? Bei Smart-Home- oder Kamera-Apps sind Kamera- und Netzwerkzugriff nachvollziehbar, aber Zugriffe wie Bedienungshilfen, „über anderen Apps einblenden“ oder Administratorrechte sind Warnsignale, wenn du sie nicht bewusst eingerichtet hast.
Einen guten Hinweis liefert außerdem der Datenverbrauch. Unter „Netzwerk und Internet“ bzw. „Datennutzung“ siehst du, welche Apps im Hintergrund auffällig viel Traffic verursachen. Wenn eine App, die du kaum nutzt, regelmäßig weit oben steht, passt das zu typischen Mustern von Hintergrundaktivitäten. Das ist kein Beweis, aber ein sauberer Grund, genauer hinzusehen.
Zum Schluss kommt der schnelle Sicherheitscheck über Google. Im Play Store kannst du Play Protect manuell starten. Das ist keine forensische Untersuchung, aber der schnellste Basischeck gegen bekannte Varianten. Gleichzeitig lohnt ein Blick in die Update-Stände: Android-Sicherheitsupdates und das Google Play-Systemupdate sind zwei getrennte Dinge, beide sollten aktuell sein.
Was du bei Verdacht tun solltest
Fällt der Verdacht klar auf eine normale App, ist die Vorgehensweise meist unkompliziert: App deinstallieren, danach mit Play Protect (und optional einer etablierten Security-App) scannen und bei Apps mit Account-Bezug die Zugangsdaten ändern. Bei Smart-Home-Kamera-Apps gehört dazu auch, das Passwort des zugehörigen Kontos zu wechseln und, falls verfügbar, Zwei-Faktor-Authentifizierung zu aktivieren.
Bei System-Apps oder dem Launcher ist „einfach löschen“ selten eine gute Idee. Sinnvoller ist es, die betreffende Komponente, sofern möglich, zu deaktivieren und auf Hersteller-Updates zu achten. Eingriffe an Systemkomponenten ohne saubere Grundlage führen sonst schnell zu neuen Problemen, ohne das ursprüngliche sicher zu lösen.
Deuten Hinweise in Richtung Firmware, wird es leider technischer: Dann braucht es ein bereinigtes Firmware-Update vom Hersteller, weil eine tiefe Integration nicht mit normalen App-Maßnahmen verschwindet. Ein Werksreset kann in so einem Szenario wirkungslos sein, weil er die gleiche Basis wiederherstellt. Bis zur Klärung sollte das Gerät nicht für sensible Konten genutzt werden, besonders nicht für Banking, Passwortmanager oder geschäftliche Logins.
Keenadu Malware auf Android erkennen und das Risiko senken
Keenadu ist vor allem deshalb relevant, weil die Funde zeigen, dass Android-Schadsoftware nicht nur als klassische „böse App“ auftauchen kann, sondern auch über System-Apps und im Extremfall über Firmware. Wer ein Gerät mit schwacher Update-Versorgung nutzt oder bei Apps aus dem Smart-Home-Kamera-Umfeld unsicher ist, sollte kurz prüfen: App-Liste, Berechtigungen, Spezialzugriffe, Datennutzung sowie Play Protect und Update-Stand. Das kostet wenige Minuten, liefert aber schnell Klarheit, ob Handlungsbedarf besteht.