Trend DK
Forside Teknologi Tusindvis af billige Android-tablets sælges med skjult malware: En fabriksnulstilling...

Tusindvis af billige Android-tablets sælges med skjult malware: En fabriksnulstilling fjerner den ikke

Tusindvis af billige Android-tablets sælges med skjult malware: En fabriksnulstilling fjerner den ikke
Leveret af Trend

En bagdør kaldet Keenadu ligger begravet i firmwaren på budget-tablets solgt i hele verden.

Sikkerhedsfirmaet Kaspersky har fundet den skadelige kode så dybt i Android-systemet, at almindelige brugere ikke selv kan fjerne den. Over 13.000 enheder er allerede bekræftet inficeret, og de fleste ejere aner ikke, at deres nye tablet er kompromitteret, før den bliver pakket ud.

Kaspersky offentliggjorde fundet i februar 2026 og har sporet infektioner i Rusland, Japan, Tyskland, Brasilien og Holland, men også i andre lande. Malwaren bruges i dag primært til annoncebedrageri, hvor de inficerede tablets fungerer som robotter, der klikker på reklamer for angribernes regning. Den samme bagdør kan dog give fuld fjernstyring af enheden, hvis operatørerne vælger at aktivere de mere aggressive funktioner.

Gemt i en fil, der starter med telefonen

Det tekniske greb er det, der gør Keenadu så svær at slippe af med. Bagdøren er indlejret i libandroid_runtime.so, en systemfil der indlæses hver gang Android starter op, og en kopi af koden lægges ind i hukommelsen på hver eneste app, når den åbnes. Fordi filen er en del af firmwaren, overlever malwaren en fabriksnulstilling. Den er ikke installeret oven på operativsystemet, den er en del af det.

Angriberne har ifølge Help Net Security ramt et sted i forsyningskæden mellem chip-leverandør og fabrik: “Et led i forsyningskæden for firmwaren er blevet kompromitteret, hvilket har ført til, at en skadelig komponent er blevet indlejret i kildekoden.” Firmware-filerne har gyldige digitale signaturer, så også opdateringer, der leveres OTA, kan indeholde malwaren uden at udløse en advarsel.

Kaspersky beskriver, hvor bredt bagdøren kan gribe ind, når først den kører: “Alle oplysninger på enheden, herunder medier, beskeder, banklogin, lokation og mere, kan blive kompromitteret.” Der er også fundet en funktion, der overvåger søgninger i Chromes inkognito-tilstand.

Alldocube og op mod 50 modeller

Den eneste tablet-model, der offentligt er navngivet af Kaspersky, er Alldocube iPlay 50 mini Pro. Ifølge Android Authority indeholdt hver eneste firmware-version, som forskerne undersøgte, bagdøren, også versioner, der blev udsendt efter, at producenten var blevet gjort opmærksom på fundet.

Sikkerhedsfirmaet Sophos har efterfølgende talt op til 50 forskellige budget-tablet-modeller fordelt på 40 lande. Sophos oplyser, at annoncebedrageriet blandt andet rammer butikker som Shein, Temu og Amazon samt platforme som YouTube og Facebook. Bagdøren aktiverer sig ikke, hvis enhedens sprog eller tidszone er sat til kinesisk, hvilket peger på, at operatørerne bevidst holder sig fra det kinesiske marked.

Ud over firmware-vejen har Keenadu også fundet vej ind på Google Play. Tre apps til smarte overvågningskameraer, Eoolii, Ziicam og Eyeplus, blev tilsammen hentet mere end 300.000 gange, før Google fjernede dem.

Sådan undgår du at købe en inficeret tablet

Google har udsendt en udtalelse om, at Android-brugere automatisk er beskyttet mod kendte varianter af Keenadu via Google Play Protect, som er slået til som standard på Android-enheder med Google Play Services. Netop den detalje er nøglen: beskyttelsen virker kun, hvis tabletten er Play Protect-certificeret, altså har gennemgået Googles kompatibilitetstest og fået lov til at få de officielle Google-tjenester forudinstalleret.

Mange af de billigste tablets fra ukendte mærker, der sælges på Amazon, AliExpress og lignende markedspladser, mangler den certificering. Det er også dem, der er dukket op i Kasperskys undersøgelse. Er en tablet tænkt som gave til et barn eller en ældre slægtning, betaler det sig at kigge efter mærkning som “Google Play Protect certified” på pakningen eller på Googles egen liste over godkendte enheder. Ligger enheden markant billigere end tilsvarende modeller fra kendte mærker, og har producenten ingen webside eller supportkanal, er der god grund til at holde sig fra den.

For ejere af en tablet, der allerede opfører sig underligt, med reklamer, der dukker op uden for browseren, eller med voldsomt datadræn, anbefaler Kaspersky at tjekke efter firmware-opdateringer, scanne enheden med en sikkerhedsløsning og lade være med at bruge den, hvis der er mistanke om infektion. Er malwaren først i firmwaren, er der reelt kun én løsning tilbage: at lægge tabletten væk.

Ads by MGDK