Kaspersky ha identificado un nuevo malware para dispositivos Android, denominado “Keenadu”, que destaca por su capacidad de infiltrarse en los equipos incluso antes de llegar a manos del usuario. Esta amenaza puede venir preinstalada directamente en el firmware del dispositivo, integrarse en aplicaciones del sistema o distribuirse a través de tiendas oficiales como Google Play.
Actualmente, “Keenadu” se utiliza principalmente para cometer fraude publicitario, usando los dispositivos infectados para generar clics falsos en anuncios sin que el usuario lo note. Sin embargo, algunas de sus variantes van mucho más allá y pueden dar a los ciberdelincuentes control total del equipo.
Hasta febrero de 2026, las soluciones de seguridad móvil de Kaspersky han detectado más de 13,000 dispositivos infectados a nivel global, siendo América Latina una de las regiones afectadas, principalmente Brasil.
Integrado en el firmware del dispositivo
Al igual que el backdoor Triada detectado por Kaspersky en 2025, algunas versiones de “Keenadu” han sido incorporadas directamente en el sistema interno de ciertos dispositivos Android durante el proceso de fabricación o distribución. Esto significa que el equipo puede estar comprometido incluso antes de que el usuario lo encienda por primera vez.
En estos casos, “Keenadu” funciona como una puerta trasera que permite a los ciberdelincuentes tener control total del dispositivo. Puede modificar aplicaciones ya instaladas, descargar nuevas sin autorización y otorgarles todos los permisos, lo que pone en riesgo toda la información almacenada en el equipo.
Como consecuencia, toda la información del dispositivo puede verse comprometida, incluidos archivos multimedia, mensajes, credenciales bancarias o datos de localización. El malware incluso monitoriza las búsquedas que el usuario introduce en el navegador Chrome en modo incógnito.
Cuando está integrado en el sistema del dispositivo, “Keenadu” puede adaptarse según ciertas condiciones. Por ejemplo, no se activa si el idioma del equipo está configurado en dialectos chinos o si la zona horaria corresponde a China. Tampoco entra en funcionamiento si el dispositivo no cuenta con Google Play Store y Google Play Services instalados. Este tipo de comportamientos selectivos sugiere que el malware está diseñado para operar solo en determinados entornos y pasar desapercibido en otros.
Integrado en aplicaciones del sistema
En esta variante, “Keenadu” presenta funcionalidades más limitadas. No puede infectar todas las aplicaciones del dispositivo, pero al estar integrado en una app del sistema, que dispone de privilegios elevados, puede instalar otras aplicaciones sin que el usuario lo sepa.
Kaspersky ha detectado “Keenadu” integrado en una aplicación del sistema responsable del desbloqueo facial del dispositivo, lo que podría permitir a los ciberdelincuentes acceder a datos biométricos del usuario. En otros casos, el malware se encontraba integrado en la aplicación de pantalla de inicio del sistema.
Integrado en aplicaciones distribuidas a través de tiendas Android
Los expertos de Kaspersky también identificaron aplicaciones disponibles en Google Play qu estaban infectadas con “Keenadu”. Se trataba de apps para el control de cámaras domésticas inteligentes que acumulaban más de 300,000 descargas antes de ser retiradas de la tienda.
