Kaspersky identificó un nuevo malware dirigido a dispositivos Android, denominado Keenadu, que ha infectado más de 13.000 equipos a nivel global hasta febrero de 2026. Lo que llama la atención de esta amenaza es su capacidad de infiltrarse en los dispositivos incluso antes de que lleguen a manos del usuario, al estar integrada directamente en el sistema durante el proceso de fabricación o distribución.
Según el reporte, América Latina figura entre las regiones afectadas, con Brasil como uno de los principales focos de detección.
Malware preinstalado en el firmware
Keenadu puede estar incrustado en el firmware del dispositivo, es decir, en su sistema interno, lo que implica que el equipo podría estar comprometido desde el primer encendido. Esta modalidad se asemeja al backdoor Triada detectado en 2025, que también operaba a nivel de sistema.
Cuando se encuentra integrado de esta manera, Keenadu actúa como una puerta trasera que permite a los ciberdelincuentes obtener control total del equipo. Entre sus capacidades se incluyen modificar aplicaciones ya instaladas, descargar e instalar nuevas apps sin autorización o conceder permisos avanzados a software malicioso.
También se ha detectado que puede acceder a archivos multimedia, mensajes y credenciales bancarias, obtener datos de localización, y hasta monitorizar búsquedas realizadas en modo incógnito en el navegador Chrome.
Además, el malware presenta comportamientos selectivos para evadir la detección. No se activa si el idioma del dispositivo está configurado en dialectos chinos o si la zona horaria corresponde a China. Tampoco entra en funcionamiento si el equipo no cuenta con Google Play Store y Google Play Services instalados, lo que sugiere que fue diseñado para operar en entornos específicos.
Integrado en aplicaciones del sistema
Otra variante identificada por los expertos se encuentra integrada en aplicaciones del sistema con privilegios elevados. En estos casos, aunque el alcance es más limitado que cuando está en el firmware, el malware puede instalar otras aplicaciones sin el conocimiento del usuario.
Kaspersky detectó Keenadu dentro de una aplicación responsable del desbloqueo facial del dispositivo, lo que podría comprometer datos biométricos. En otros casos, el código malicioso estaba oculto en la aplicación de pantalla de inicio del sistema.
Los investigadores también encontraron aplicaciones disponibles en Google Play que estaban infectadas con Keenadu. Se trataba de apps destinadas al control de cámaras domésticas inteligentes que superaban las 300.000 descargas antes de ser retiradas de la tienda.
Una vez instaladas, estas aplicaciones podían abrir páginas web en segundo plano sin que el usuario lo notara, generando actividad fraudulenta y clics falsos en anuncios. No obstante, algunas variantes van más allá del fraude publicitario y están diseñadas para otorgar a los atacantes control completo del dispositivo, poniendo en riesgo la privacidad y la seguridad financiera de los usuarios.
Riesgos para el ecosistema Android
El foco ahora se centra nuevamente en la seguridad de la cadena de suministro de dispositivos móviles, especialmente cuando el malware logra integrarse en fases previas a la comercialización. También evidencia que las amenazas no se limitan a descargas desde tiendas alternativas, sino que pueden infiltrarse incluso en plataformas oficiales.
Kaspersky recomendó a los usuarios adquirir dispositivos de distribuidores confiables, mantener actualizado el sistema operativo y utilizar soluciones de seguridad móvil que permitan detectar comportamientos sospechosos a nivel de sistema.
