Kaspersky advirtió que esta amenaza puede estar integrada en el sistema del dispositivo incluso antes de su venta, permitiendo desde fraude publicitario hasta el control total del equipo sin que el usuario lo note.
Kaspersky ha identificado un nuevo malware para dispositivos Android, denominado Keenadu, que destaca por su capacidad de infiltrarse en los equipos incluso antes de llegar a manos del usuario. Esta amenaza puede venir preinstalada directamente en el firmware del dispositivo, integrarse en aplicaciones del sistema o distribuirse a través de tiendas oficiales como Google Play.
Actualmente, Keenadu se utiliza principalmente para cometer fraude publicitario, usando los dispositivos infectados para generar clics falsos en anuncios sin que el usuario lo note. Sin embargo, algunas de sus variantes van mucho más allá y pueden dar a los ciberdelincuentes control total del equipo.
Hasta febrero de 2026, las soluciones de seguridad móvil de Kaspersky han detectado más de 13.000 dispositivos infectados a nivel global, siendo América Latina una de las regiones afectadas, principalmente Brasil.
Integrado en el firmware del dispositivo
Al igual que el backdoor Triada detectado por Kaspersky en 2025, algunas versiones de Keenadu han sido incorporadas directamente en el sistema interno de ciertos dispositivos Android durante el proceso de fabricación o distribución. Esto significa que el equipo puede estar comprometido incluso antes de que el usuario lo encienda por primera vez.
En estos casos, Keenadu funciona como una puerta trasera que permite a los ciberdelincuentes tener control total del dispositivo. Puede modificar aplicaciones ya instaladas, descargar nuevas sin autorización y otorgarles todos los permisos, lo que pone en riesgo toda la información almacenada en el equipo.
Como consecuencia, toda la información del dispositivo puede verse comprometida, incluidos archivos multimedia, mensajes, credenciales bancarias o datos de localización. El malware incluso monitoriza las búsquedas que el usuario introduce en el navegador Chrome en modo incógnito.
Cuando está integrado en el sistema del dispositivo, Keenadu puede adaptarse según ciertas condiciones. Por ejemplo, no se activa si el idioma del equipo está configurado en dialectos chinos o si la zona horaria corresponde a China.
Tampoco entra en funcionamiento si el dispositivo no cuenta con Google Play Store y Google Play Services instalados. Este tipo de comportamientos selectivos sugiere que el malware está diseñado para operar solo en determinados entornos y pasar desapercibido en otros.
Integrado en aplicaciones del sistema
En esta variante, Keenadu presenta funcionalidades más limitadas. No puede infectar todas las aplicaciones del dispositivo, pero al estar integrado en una app del sistema, que dispone de privilegios elevados, puede instalar otras aplicaciones sin que el usuario lo sepa.
Kaspersky ha detectado Keenadu integrado en una aplicación del sistema responsable del desbloqueo facial del dispositivo, lo que podría permitir a los ciberdelincuentes acceder a datos biométricos del usuario. En otros casos, el malware se encontraba integrado en la aplicación de pantalla de inicio del sistema.
Integrado en aplicaciones distribuidas a través de tiendas Android
Los expertos de Kaspersky también identificaron aplicaciones disponibles en Google Play que estaban infectadas con Keenadu. Se trataba de apps para el control de cámaras domésticas inteligentes que acumulaban más de 300.000 descargas antes de ser retiradas de la tienda.
Una vez instaladas, estas aplicaciones podían abrir páginas web en segundo plano, sin que el usuario lo notara, generando actividad oculta desde el dispositivo. Casos similares ya habían sido detectados en aplicaciones que se descargan fuera de las tiendas oficiales o desde otras tiendas alternativas.
“Este tipo de amenazas es especialmente preocupante porque rompe la principal barrera de confianza del ecosistema móvil: la idea de que un dispositivo nuevo es seguro por defecto. Cuando el malware se infiltra en etapas previas a la venta, el usuario pierde la capacidad de prevenir el riesgo con buenas prácticas básicas. Además del fraude publicitario, el verdadero peligro es el acceso profundo al sistema, que puede comprometer datos personales, credenciales y hasta información biométrica. Por eso, este no es solo un problema del consumidor final, sino un desafío para toda la cadena de suministro tecnológica, que debe reforzar sus controles para evitar que el software sea manipulado antes de llegar al mercado”, asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Con el fin de evitar estas vulnerabilidades, los expertos de Kaspersky recomiendan:
- Revisar el origen del dispositivo y evitar compras en canales no oficiales. Siempre que sea posible, adquirir equipos en tiendas autorizadas y verificar que el fabricante publique actualizaciones periódicas de seguridad.
- Mantener el sistema y las aplicaciones actualizadas. Instalar las actualizaciones disponibles del sistema operativo y de las apps, ya que muchas corrigen vulnerabilidades que pueden ser aprovechadas por este tipo de amenazas.
- Contar con una solución de seguridad integral como Kaspersky Premium para Android, que permite detectar amenazas ocultas, bloquear aplicaciones maliciosas y proteger la información personal incluso si el malware intenta operar en segundo plano.
