La firma de ciberseguridad Kaspersky informó que, a través de sus soluciones de protección móvil, identificó más de 13 mil dispositivos Android comprometidos con Keenadu a nivel mundial hasta febrero de 2026.
Los registros más elevados de detecciones se localizaron en Rusia, Japón, Alemania, Brasil y Países Bajos. Además, España figura entre los diez países con mayor incidencia, junto con Turquía, Reino Unido, Francia e Italia.
De acuerdo con los especialistas, este software malicioso opera de forma similar al troyano Triada, detectado en 2025 en más de 2,600 teléfonos Android falsificados. En el caso de Keenadu, se confirmó su integración en el firmware de determinados modelos de tabletas Android en alguna fase de la cadena de suministro.
¿Cómo funciona Keenadu?
La variante analizada actúa como una puerta trasera (backdoor) que concede a los atacantes acceso ilimitado al dispositivo. Esto permite:
- Infectar cualquier aplicación instalada
- Instalar nuevas apps mediante archivos APK
- Modificar configuraciones y otorgar permisos automáticamente
Como consecuencia, los datos personales pueden quedar expuestos, incluyendo archivos multimedia, mensajes, credenciales bancarias y ubicación. Incluso, según Kaspersky, los atacantes pueden supervisar búsquedas realizadas en modo incógnito en el navegador Chrome.
Asimismo, cuando el malware está incrustado en el firmware, su comportamiento puede variar según la configuración del dispositivo. No se activa si el idioma corresponde a dialectos chinos o si la zona horaria está configurada en China. Tampoco se ejecuta si el equipo no cuenta con Google Play Store o Google Play Services instalados.
Presencia en apps del sistema y tiendas oficiales
Los expertos también advirtieron que Keenadu puede integrarse en aplicaciones del sistema o distribuirse mediante descargas desde Google Play.
En el caso de su inclusión en apps del sistema, su capacidad es más limitada, ya que no logra infectar todas las aplicaciones. Sin embargo, mantiene privilegios elevados, como la instalación silenciosa de otras apps.
En uno de los análisis, el malware fue hallado dentro de una aplicación vinculada al desbloqueo facial, lo que podría comprometer datos biométricos. En otros casos, apareció en la aplicación de pantalla de inicio.
Por otra parte, la versión distribuida en Google Play se detectó en aplicaciones para cámaras domésticas inteligentes que acumulaban más de 300 mil descargas, aunque ya fueron retiradas. Entre ellas se encontraban Ziicam, Eyeplus-Your home in your eyes y Eoolii.
Al ejecutarse, estas aplicaciones permitían abrir pestañas invisibles en el navegador, visitando sitios web de forma oculta para generar actividad fraudulenta.
Riesgo desde el primer momento
La detección de Keenadu confirma que los malwares preinstalados siguen representando una amenaza significativa en el ecosistema Android, ya que el usuario puede verse afectado “sin realizar ninguna acción” y con el dispositivo comprometido “desde el primer momento”, como señaló el investigador de seguridad de Kaspersky, Dmitry Kalinin.
“Es probable que los fabricantes no fueran conscientes de la manipulación en la cadena de suministro que permitió a Keenadu infiltrarse en los dispositivos, ya que el malware imitaba componentes legítimos del sistema”, explicó.
El especialista subrayó que resulta “esencial revisar todas las fases del proceso de producción para garantizar que el firmware no esté infectado”.
Recomendaciones
Kaspersky recomendó:
- Utilizar una solución de seguridad confiable en dispositivos móviles
- Verificar la disponibilidad de actualizaciones e instalarlas
- Analizar el firmware tras cada actualización
- En caso de detectar una app del sistema comprometida, dejar de utilizarla y desactivarla
(Europa Press)
