Un análisis reciente de Laboratorio Kaspersky ha sacado a la luz Keenadu, un sofisticado backdoor para Android capaz de llegar a los usuarios por múltiples vías: firmware de fábrica, aplicaciones de sistema y hasta a través de Google Play. Esto implica que un dispositivo puede estar comprometido desde el primer encendido, sin que el comprador tenga posibilidad de detectarlo a simple vista.
Alcance global de Keenadu y cifras de infección en Android
Según los datos recopilados hasta febrero de 2026, los productos de seguridad de la compañía han identificado más de 13 000 dispositivos Android infectados con Keenadu. Los países con mayor concentración de casos son Rusia, Japón, Alemania, Brasil y los Países Bajos. Para una infraestructura de backdoor de este tipo, se trata de una cifra relevante, pero no definitiva, lo que sugiere que la campaña maliciosa sigue activa y expandiéndose.
Ataque a la cadena de suministro en firmware Android
La característica más preocupante de Keenadu es su uso de un ataque a la cadena de suministro (supply chain attack), una técnica en la que los atacantes comprometen componentes o procesos de desarrollo antes de que el producto llegue al usuario final. En el caso analizado, el equipo de Kaspersky investigó un tablet Alldocube iPlay 50 mini Pro (T811M) y descubrió que una dependencia maliciosa había sido introducida durante la fase de compilación del firmware, directamente en el repositorio de código fuente.
Caso Alldocube: biblioteca maliciosa en el corazón de Android
En este dispositivo, el firmware incluía una biblioteca estática maliciosa, libVndxUtils.a, enlazada con la biblioteca de sistema libandroid_runtime.so. Como consecuencia, quedaba comprometido el proceso Zygote, componente crítico de Android responsable de crear prácticamente todas las aplicaciones. Al inyectarse en Zygote, Keenadu pasa a formar parte del espacio de memoria de cada app que se ejecuta, rompiendo de facto la separación entre aplicaciones que proporciona el modelo de seguridad de Android.
Las imágenes de firmware analizadas contaban con una firma digital legítima del fabricante, y las posteriores actualizaciones OTA siguieron distribuyendo el backdoor, incluso después de hacerse pública la investigación. Este patrón es típico de una comprometida cadena de suministro, donde el propio fabricante puede no ser consciente de que está firmando y publicando firmware malicioso.
Distribución adicional: apps de sistema, Google Play y Xiaomi GetApps
La investigación indica que Keenadu no se limita a un único proveedor. Se han hallado variantes en otros fabricantes de dispositivos Android, donde el código malicioso se integraba en aplicaciones de sistema en lugar de en libandroid_runtime.so. Además, módulos relacionados con Keenadu se han detectado tanto en catálogos alternativos como en Google Play y Xiaomi GetApps, incluidos varios paquetes para cámaras “inteligentes” que, en conjunto, superaban las 300 000 descargas antes de ser retirados.
Un detalle significativo es que Keenadu no se activa cuando el idioma del sistema o la zona horaria indican que el dispositivo está asociado a China. Este tipo de filtrado geográfico y lingüístico es habitual en ciertas familias de malware que buscan evitar el escrutinio de reguladores y fuerzas de seguridad locales.
Arquitectura interna de Keenadu: control total del dispositivo
Desde el punto de vista técnico, Keenadu adopta una arquitectura cliente-servidor dentro del propio sistema operativo Android. El componente servidor, denominado AKServer, se ejecuta en el proceso privilegiado system_server, mientras que el cliente, AKClient, se inyecta en el resto de aplicaciones, aprovechando el compromiso de Zygote.
Control de permisos, datos y aplicaciones
Con esta posición privilegiada, Keenadu puede:
— otorgar y revocar permisos a cualquier aplicación sin interacción del usuario;
— recolectar información del dispositivo (IMEI, direcciones MAC, modelo, versión de Android);
— obtener geolocalización y otros datos sensibles;
— gestionar la instalación, actualización y ejecución de APK de forma silenciosa.
Evasión de defensas modernas de Android
Versiones recientes de Android introducen sesiones de instalación y restricciones adicionales para limitar el abuso de instaladores de terceros. El análisis de Kaspersky muestra que Keenadu ha sido diseñado para sortear estos controles y facilitar el acceso a permisos críticos, en especial los relacionados con Servicios de Accesibilidad, un vector explotado con frecuencia en campañas de fraude financiero y robo de credenciales.
Uso criminal: fraude publicitario, manipulación de compras y riesgo biométrico
El principal modelo de negocio asociado a Keenadu es el fraude publicitario. El backdoor puede simular interacciones con anuncios, clics y descargas de aplicaciones, generando tráfico y conversiones ficticias que inflan los ingresos de redes publicitarias controladas por los atacantes.
Un módulo especializado enfocado en el navegador Chrome intercepta las búsquedas del usuario, incluso en modo incógnito, y puede modificar el motor de búsqueda predeterminado. Esto permite redirigir tráfico, favorecer resultados manipulados y desplegar campañas de phishing o distribución de más malware.
Otro componente actúa como cargador dirigido a apps de comercio electrónico como Amazon, SHEIN y Temu, y, según quejas de usuarios, sería capaz de añadir productos a la cesta de compra sin conocimiento del propietario, habilitando compras encubiertas o la manipulación de métricas de las plataformas.
Particularmente grave es la detección de Keenadu dentro de una aplicación de sistema de reconocimiento facial. El acceso potencial a plantillas biométricas hace que el impacto supere con creces el de una simple filtración de contraseñas: mientras que una clave puede cambiarse, los datos biométricos resultan prácticamente inmutables.
Vínculos con Triada, BADBOX y Vo1d
Durante el análisis, los investigadores identificaron conexiones entre Keenadu y otros grandes botnets Android como Triada, BADBOX y Vo1d. En ciertos casos, BADBOX descargaba módulos pertenecientes al ecosistema Keenadu, y el estudio del código reveló similitudes relevantes, pese a notables diferencias arquitectónicas. Todo apunta a una reutilización de ideas y fragmentos de código, en línea con una tendencia observada en la industria: plataformas de malware que evolucionan de forma iterativa y comparten componentes entre distintos grupos criminales.
Impacto sobre los usuarios y opciones reales de mitigación
Eliminar Keenadu mediante herramientas estándar de Android es prácticamente imposible. En dispositivos modernos, la partición de sistema que contiene libandroid_runtime.so suele estar montada en modo solo lectura, lo que impide su modificación sin procesos avanzados de flasheo. Las alternativas viables pasan por encontrar e instalar un firmware oficial “limpio” —si existe— o, en su defecto, recurrir a una reinstalación completa del sistema con una ROM confiable.
Hasta que se reemplace el firmware, es recomendable no utilizar dispositivos sospechosos para transacciones financieras, autenticación sensible o almacenamiento de datos críticos. Resulta esencial combinar buenas prácticas de higiene digital (instalar solo apps de confianza, revisar permisos, supervisar actividad inusual) con soluciones de seguridad móvil reputadas y una selección cuidadosa de marca y modelo al adquirir un nuevo terminal. Para los fabricantes, el caso Keenadu refuerza la necesidad de endurecer el control de la cadena de suministro, auditar bibliotecas de terceros y someter cada firmware a revisiones de seguridad exhaustivas antes de su firma y distribución.
