Kaspersky identificó un nuevo malware para dispositivos Android denominado Keenadu, que puede infiltrarse en los equipos incluso antes de llegar a manos del usuario.
La amenaza puede venir preinstalada directamente en el firmware del dispositivo —el software de bajo nivel que controla el hardware desde su fabricación—, integrarse en aplicaciones del sistema o distribuirse a través de tiendas oficiales como Google Play.
Hasta febrero de 2026, las soluciones de seguridad móvil de Kaspersky detectaron más de 13.000 dispositivos infectados a nivel global.
América Latina figura entre las regiones afectadas, con Brasil como principal foco.
Keenadu se utiliza principalmente para cometer fraude publicitario, usando los dispositivos infectados para generar clics falsos en anuncios sin que el usuario lo note.
Sin embargo, algunas de sus variantes pueden otorgar a los ciberdelincuentes control total del equipo.
Tres vectores de infección
Integrado en el firmware del dispositivo
Al igual que el backdoor Triada —un tipo de puerta trasera que permite el acceso remoto no autorizado al sistema— detectado por Kaspersky en 2025, algunas versiones de Keenadu fueron incorporadas directamente en el sistema interno de ciertos dispositivos Android durante el proceso de fabricación o distribución.
Esto significa que el equipo puede estar comprometido incluso antes de que el usuario lo encienda por primera vez.
En estos casos, Keenadu funciona como una puerta trasera que permite a los ciberdelincuentes tener control total del dispositivo.
Puede modificar aplicaciones ya instaladas, descargar nuevas sin autorización y otorgarles todos los permisos.
Como consecuencia, toda la información del dispositivo puede verse comprometida: archivos multimedia, mensajes, credenciales bancarias y datos de localización.
El malware incluso monitoriza las búsquedas que el usuario introduce en el navegador Chrome en modo incógnito —la función que evita el registro local del historial de navegación—.
Cuando está integrado en el sistema, Keenadu presenta comportamientos selectivos: no se activa si el idioma del equipo está configurado en dialectos chinos o si la zona horaria corresponde a China.
Tampoco entra en funcionamiento si el dispositivo no cuenta con Google Play Store y Google Play Services instalados.
Esto sugiere que el malware está diseñado para operar solo en determinados entornos y pasar desapercibido en otros.
Integrado en aplicaciones del sistema
En esta variante, Keenadu presenta funcionalidades más limitadas. No puede infectar todas las aplicaciones del dispositivo, pero al estar integrado en una app del sistema con privilegios elevados, puede instalar otras aplicaciones sin que el usuario lo sepa.
Kaspersky detectó Keenadu integrado en una aplicación responsable del desbloqueo facial del dispositivo, lo que podría permitir a los ciberdelincuentes acceder a datos biométricos —información física única del usuario, como el rostro o la huella dactilar, usada para autenticación—.
En otros casos, el malware se encontraba integrado en la aplicación de pantalla de inicio del sistema.
Integrado en aplicaciones distribuidas a través de tiendas Android
Los expertos de Kaspersky identificaron aplicaciones disponibles en Google Play infectadas con Keenadu. Se trataba de apps para el control de cámaras domésticas inteligentes que acumularon más de 300.000 descargas antes de ser retiradas de la tienda.
Una vez instaladas, estas aplicaciones podían abrir páginas web en segundo plano sin que el usuario lo notara, generando actividad oculta desde el dispositivo.
Casos similares ya habían sido detectados en aplicaciones descargadas fuera de las tiendas oficiales o desde tiendas alternativas.
La advertencia para la cadena de suministro
“Este tipo de amenazas es especialmente preocupante porque rompe la principal barrera de confianza del ecosistema móvil: la idea de que un dispositivo nuevo es seguro por defecto. Cuando el malware se infiltra en etapas previas a la venta, el usuario pierde la capacidad de prevenir el riesgo con buenas prácticas básicas”, afirmó Leandro Cuozzo, analista de seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
“Además del fraude publicitario, el verdadero peligro es el acceso profundo al sistema, que puede comprometer datos personales, credenciales y hasta información biométrica. Por eso, este no es solo un problema del consumidor final, sino un desafío para toda la cadena de suministro tecnológica, que debe reforzar sus controles para evitar que el software sea manipulado antes de llegar al mercado”, agregó.
Para mitigar el riesgo, los expertos de Kaspersky recomiendan:
- Revisar el origen del dispositivo y evitar compras en canales no oficiales. Siempre que sea posible, adquirir equipos en tiendas autorizadas y verificar que el fabricante publique actualizaciones periódicas de seguridad.
- Mantener el sistema y las aplicaciones actualizadas. Instalar las actualizaciones disponibles del sistema operativo y de las apps, ya que muchas corrigen vulnerabilidades que pueden ser aprovechadas por este tipo de amenazas.
- Contar con una solución de seguridad integral como Kaspersky Premium para Android, que permite detectar amenazas ocultas, bloquear aplicaciones maliciosas y proteger la información personal incluso si el malware intenta operar en segundo plano.
