- Los actores maliciosos utilizan este “malware” para llevar a cabo fraude publicitario, empleando los dispositivos infectados como bots que generan clics en anuncios
Expertos en ciberseguridad alertaron sobre Keenadu, un nuevo “malware” identificado en dispositivos Android, siendo España uno de los países con mayor número de detecciones, que puede venir preinstalado directamente en el “firmware” del dispositivo, integrarse en aplicaciones de sistema o descargarse desde tiendas oficiales como Google Play.
Los actores maliciosos utilizan este “malware” para llevar a cabo fraude publicitario, empleando los dispositivos infectados como bots que generan clics en anuncios. Sin embargo, también puede utilizarse para fines más dañinos, ya que en algunas variantes se ha identificado que permite el control total del dispositivo de la víctima.
Así lo ha dado a conocer la compañía de ciberseguridad Kaspersky que, a través de sus soluciones de seguridad móvil, ha detectado más de 13.000 dispositivos infectados con Keenadu a nivel global, hasta febrero de 2026.
Concretamente, el mayor número de usuarios afectados se registró en Rusia, Japón, Alemania, Brasil y Países Bajos. No obstante, España también figura entre los diez países con mayor número de detecciones de esta amenaza, junto a Turquía, Reino Unido, Francia e Italia.
Como han explicado los expertos en un comunicado, al igual que el troyano Triada, que fue detectado en 2025 en más de 2,600 “smartphones” Android falsificados, este “malware” Keenadu se ha integrado en el “firmware” de determinados modelos de tabletas Android en “alguna fase de la cadena de suministro”.
Esta variante identificada, actúa como un acceso “backdoor” para los ciberdelincuentes, de manera que les permite obtener un control ilimitado sobre el dispositivo en cuestión. Como resultado, Keenadu puede infectar cualquier aplicación que se instale en el dispositivo, así como instalar nuevas “apps” desde archivos APK y, controlar la configuración para concederles todos los permisos.
Todo ello se traduce en que la información del dispositivo puede verse comprometida, incluidos los archivos multimedia, los mensajes, las credenciales bancarias o los datos de localización, como han advertido desde Kaspersky. Tanto es así, que incluso los ciberdelincuentes pueden monitorizar las búsquedas que el usuario introduce en el navegador Chrome en modo incógnito.
Igualmente, se ha de tener en cuenta que, cuando el “malware” está integrado en el “firmware” puede comportarse de forma distinta dependiendo de varios factores. Por ejemplo, la compañía ha asegurado que no se activará si el idioma configurado en el dispositivo corresponde a dialectos chinos o si la zona horaria está configurada en China. Tampoco se ejecutará si el dispositivo no tiene instalados Google Play Store o Google Play Services.
Integrado en “apps” del sistema o distribuido en “apps” oficiales
No obstante, los expertos especificaron que la amenaza también se distribuye integrándose en aplicaciones del sistema o descargándose desde tiendas oficiales como Google Play.
En la variante integrada en aplicaciones del sistema, Keenadu está más limitado, ya que no puede infectar todas las aplicaciones del dispositivo. Sin embargo, sí dispone de algunos privilegios elevados, por ejemplo, puede usarse para instalar otras aplicaciones sin que el usuario lo sepa.
En uno de los casos analizados, los expertos detectaron Keenadu integrado en una aplicación del sistema responsable del desbloqueo facial del dispositivo, lo que podría permitir a los ciberdelincuentes acceder a datos biométricos del usuario. En otros casos, el malware se encontraba integrado en la aplicación de pantalla de inicio del sistema.
Por su parte, para la versión distribuida a través de aplicaciones en la tienda oficial Google Play, infectadas con Keenadu, los ciberdelincuentes han optado por aplicaciones para cámaras domésticas inteligentes que habían sido descargadas más de 300,000 veces. Aunque, actualmente, ya han sido retiradas.
Así, cuando los usuarios ejecutaban dichas aplicaciones, los ciberdelincuentes pueden abrir pestañas invisibles del navegador dentro de la propia aplicación, visitando páginas web de forma oculta. Algunas de estas aplicaciones eran Ziicam, Eyeplus-Your home in your eyes o Eoolii.
Con todo ello, la identificación de Keenadu pone de relieve cómo los “malwares” preinstalados siguen siendo un problema importante en múltiples dispositivos Android ya que, “sin que el usuario realice ninguna acción” el dispositivo puede estar comprometido “desde el primer momento”, como ha detallado el security researcher de Kaspersky, Dmitry Kalinin.
“Es probable que los fabricantes no fueran conscientes de la manipulación en la cadena de suministro que permitió a Keenadu infiltrarse en los dispositivos, ya que el malware imitaba componentes legítimos del sistema”, ha concluido, al tiempo que ha subrayado que resulta “esencial revisar todas las fases del proceso de producción para garantizar que el firmware no esté infectado”.
También ha recomendado a los usuarios utilizar una solución de seguridad fiable en los dispositivos móviles, comprobar si existen actualizaciones disponibles y, tras instalarlas, analizar el equipo con una solución de seguridad para examinar el “firmware”. En caso de que una aplicación de sistema esté infectada, se recomienda dejar de utilizarla y desactivarla.
