Kaspersky ha identificado una nueva amenaza crítica para el ecosistema móvil denominada Keenadu. Este malware para dispositivos Android destaca por su alarmante capacidad de infiltrarse en los equipos incluso antes de llegar a las manos del usuario, viniendo preinstalado directamente en el firmware, integrado en aplicaciones del sistema o distribuido a través de tiendas oficiales.
Hasta febrero de 2026, las soluciones de seguridad han detectado más de 13.000 dispositivos infectados a nivel global, con una fuerte presencia en América Latina, especialmente en Brasil. Aunque actualmente se utiliza principalmente para cometer fraude publicitario mediante la generación de clics falsos en anuncios de forma invisible, algunas variantes otorgan a los ciberdelincuentes un control total del equipo.
El peligro de Keenadu integrado en el firmware del dispositivo
Al igual que ocurrió con el backdoor Triada detectado en 2025, ciertas versiones de Keenadu se incorporan directamente en el sistema interno del Android durante su proceso de fabricación o distribución. Esto implica que el smartphone puede estar comprometido desde el primer encendido. En estos escenarios, el malware funciona como una puerta trasera que permite a los atacantes modificar aplicaciones existentes, descargar software no autorizado y conceder permisos críticos.
En consecuencia, toda la información personal queda expuesta, desde archivos multimedia y mensajes hasta credenciales bancarias, datos de localización e incluso las búsquedas realizadas en el modo incógnito de Chrome. De forma inteligente, Keenadu se adapta a su entorno para evadir análisis; por ejemplo, permanece inactivo si el idioma o la zona horaria del equipo corresponden a China, o si el dispositivo carece de la instalación de Google Play Store y sus servicios, asegurando operar solo en entornos específicos.
Infiltración a través de aplicaciones del sistema
En otra de sus variantes, Keenadu se camufla dentro de aplicaciones propias del sistema. Aunque aquí presenta funcionalidades más limitadas y no puede infectar todas las áreas del dispositivo, aprovecha los privilegios elevados de estas apps nativas para instalar software de terceros sin el consentimiento del usuario.
Los investigadores han detectado este código malicioso en herramientas críticas, como la aplicación responsable del desbloqueo facial, lo que abre una peligrosa brecha hacia los datos biométricos de la víctima. Asimismo, se han reportado casos donde el malware residía en la propia aplicación de la pantalla de inicio del sistema operativo.
Aplicaciones infectadas en Google Play y la cadena de suministro
Los expertos también localizaron aplicaciones disponibles en Google Play infectadas con esta amenaza. Se trataba de herramientas para el control de cámaras domésticas inteligentes que acumularon más de 300.000 descargas antes de ser retiradas.
Una vez instaladas, abrían páginas web en segundo plano para generar actividad publicitaria oculta. Leandro Cuozzo, analista de Seguridad de Kaspersky para América Latina, advierte que este tipo de amenazas rompe la principal barrera de confianza del mercado: creer que un dispositivo nuevo es seguro por defecto.
Para evitar estas graves vulnerabilidades que comprometen datos personales y biométricos, los especialistas recomiendan encarecidamente revisar el origen del dispositivo, evitando canales de venta no oficiales para asegurar actualizaciones del fabricante.
Es vital mantener tanto el sistema operativo como las aplicaciones actualizados para parchear brechas de seguridad y contar con una solución integral de protección móvil capaz de detectar amenazas ocultas y bloquear procesos maliciosos en segundo plano.
¿Cómo saber si mi teléfono Android está infectado con el malware Keenadu desde fábrica?
Detectar un malware preinstalado en el firmware como Keenadu es un desafío técnico importante, ya que el código malicioso se oculta en los cimientos del sistema operativo, evadiendo las revisiones de seguridad tradicionales y sobreviviendo a los reinicios de fábrica.
El primer indicio de infección suele ser un comportamiento anómalo del dispositivo: un consumo de batería inusualmente rápido, sobrecalentamiento sin motivo aparente o un uso excesivo de datos móviles cuando el teléfono está en reposo. Estos síntomas ocurren porque el malware está ejecutando procesos en segundo plano, como la apertura de páginas web ocultas para el fraude publicitario.
Para confirmar la presencia de esta amenaza, los usuarios no deben depender únicamente de las herramientas de limpieza predeterminadas. Es imperativo instalar una solución de ciberseguridad móvil de nivel empresarial, capaz de realizar un escaneo profundo de las particiones del sistema.
Si el antivirus detecta Keenadu incrustado en el firmware original y no es posible desinstalar la aplicación del sistema afectada mediante métodos convencionales, la medida más segura es contactar al fabricante oficial para solicitar una actualización limpia del sistema o, en casos de dispositivos de dudosa procedencia, considerar el reemplazo del equipo para garantizar la privacidad de los datos.
