Según nuevos hallazgos de Kaspersky, una nueva puerta trasera de Android que está integrada profundamente en el firmware del dispositivo puede recopilar datos de forma silenciosa y controlar de forma remota su comportamiento.

El proveedor ruso de ciberseguridad dijo que descubrió la puerta trasera, denominada Keenaduen el firmware de dispositivos asociados con varias marcas, incluido Alldocube, y el compromiso se produce durante la fase de compilación del firmware. Keenadu se detectó en el firmware Alldocube iPlay 50 mini Pro que data del 18 de agosto de 2023. En todos los casos, la puerta trasera está integrada en el firmware de la tableta y los archivos de firmware llevan firmas digitales válidas. Los nombres de los otros proveedores no fueron revelados.

«En varios casos, el firmware comprometido se entregó con una actualización OTA», dijo el investigador de seguridad Dmitry Kalinin. dicho en un análisis exhaustivo publicado hoy. «Una copia de la puerta trasera se carga en el espacio de direcciones de cada aplicación al iniciarse. El malware es un cargador de múltiples etapas que otorga a sus operadores la capacidad ilimitada de controlar el dispositivo de la víctima de forma remota».

Algunas de las cargas útiles recuperadas por Keenadu le permiten secuestrar el motor de búsqueda en el navegador, monetizar nuevas instalaciones de aplicaciones e interactuar sigilosamente con elementos publicitarios. Una de las cargas útiles se encontró integrada en varias aplicaciones independientes distribuidas a través de repositorios de terceros, así como en mercados de aplicaciones oficiales como Google Play y Xiaomi GetApps.

Los datos de telemetría sugieren que 13.715 usuarios en todo el mundo han encontrado Keenadu o sus módulos, y la mayoría de los usuarios atacados por el malware se encuentran en Rusia, Japón, Alemania, Brasil y los Países Bajos.

Keenadu fue revelado por primera vez por Kaspersky a finales de diciembre de 2025, describiéndolo como una puerta trasera en libandroid_runtime.so, una biblioteca compartida crítica en el sistema operativo Android que se carga durante el arranque. Una vez que está activo en un dispositivo infectado, se inyecta en el Cigoto proceso, un comportamiento también observado en otro malware de Android llamado Triada.

El malware se invoca mediante una llamada de función agregada a libandroid_runtime.so, después de lo cual verifica si se está ejecutando dentro de aplicaciones del sistema que pertenecen a los servicios de Google o a operadores de telefonía celular como Sprint o T-Mobile. Si es así, se aborta la ejecución. También tiene un interruptor de apagado para finalizarse si encuentra archivos con ciertos nombres en los directorios del sistema.

«A continuación, el troyano comprueba si se está ejecutando dentro del proceso system_server», dijo Kalinin. «Este proceso controla todo el sistema y posee privilegios máximos; lo inicia el proceso Zygote cuando se inicia».

Si esta verificación es verdadera, el malware procede a crear una instancia de la clase AKServer. De lo contrario, crea una instancia de la clase AKClient. El componente AKServer contiene la lógica central y el mecanismo de comando y control (C2), mientras que AKClient se inyecta en cada aplicación iniciada en el dispositivo y sirve como puente para interactuar con AKServer.

Esta arquitectura cliente-servidor permite a AKServer ejecutar cargas maliciosas personalizadas adaptadas a la aplicación específica a la que se dirige. AKServer también expone otra interfaz que los módulos maliciosos descargados dentro de los contextos de otras aplicaciones pueden usar para otorgar o revocar permisos hacia/desde una aplicación arbitraria en el dispositivo, obtener la ubicación actual y extraer información del dispositivo.

El componente AKServer también está diseñado para ejecutar una serie de comprobaciones que hacen que el malware finalice si el idioma de la interfaz es chino y el dispositivo está ubicado dentro de una zona horaria china, o si Google Play Store o los servicios de Google Play no están en el dispositivo. Una vez que se cumplen los criterios necesarios, el troyano descifra la dirección C2 y envía metadatos del dispositivo en formato cifrado al servidor.

En respuesta, el servidor devuelve un objeto JSON cifrado que contiene detalles sobre las cargas útiles. Sin embargo, en lo que parece ser un intento de complicar el análisis y evadir la detección, un control adicional integrado en la puerta trasera impide que el servidor C2 entregue cargas útiles hasta que hayan transcurrido 2,5 meses desde el registro inicial.

«El servidor del atacante entrega información sobre las cargas útiles como una matriz de objetos», explicó Kaspersky. «Cada objeto contiene un enlace de descarga para la carga útil, su hash MD5, nombres de paquetes de aplicaciones de destino, nombres de procesos de destino y otros metadatos. En particular, los atacantes eligieron Alibaba Cloud como su proveedor de CDN».

Algunos de los módulos maliciosos identificados se enumeran a continuación:

• Cargador Keenaduque apunta a tiendas en línea populares como Amazon, Shein y Temu para entregar cargas útiles no especificadas. Sin embargo, se sospecha que permiten agregar artículos al carrito de compras de las aplicaciones sin el conocimiento de la víctima.
• Cargador de clicque se inyecta en YouTube, Facebook, Google Digital Wellbeing y el iniciador del sistema Android para entregar cargas útiles que pueden interactuar con elementos publicitarios en sitios web de juegos, recetas y noticias.
• módulo de Google Chromeque apunta al navegador Chrome para secuestrar solicitudes de búsqueda y redirigirlas a un motor de búsqueda diferente. Sin embargo, vale la pena señalar que el intento de secuestro puede fallar si la víctima selecciona una opción de las sugerencias de autocompletar según las palabras clave ingresadas en la barra de direcciones.
• nuevo clickerque está integrado en el selector de fondos de pantalla del sistema y utiliza aprendizaje automático y WebRTC para interactuar con elementos publicitarios. El mismo componente fue denominado en código Phantom por Doctor Web en un análisis publicado el mes pasado.
• Instalar monetizaciónque está integrado en el iniciador del sistema y monetiza las instalaciones de aplicaciones engañando a las plataformas publicitarias haciéndoles creer que una aplicación se instaló desde un anuncio publicitario legítimo.
• Módulo de Google Playque recupera el ID de publicidad de Google Ads y lo almacena bajo la clave «S_GA_ID3» para que otros módulos lo utilicen probablemente para identificar de forma única a una víctima.

Kaspersky dijo que también identificó otros vectores de distribución de Keenadu, incluso mediante la incorporación del cargador Keenadu en varias aplicaciones del sistema, como el servicio de reconocimiento facial y el iniciador del sistema, en el firmware de varios dispositivos. Esta táctica se observó en otro malware de Android conocido como Dwphon, que se integró en las aplicaciones del sistema responsables de las actualizaciones OTA.

Un segundo método se refiere a un artefacto del cargador Keenadu que está diseñado para operar dentro de un sistema donde el proceso system_server ya había sido comprometido por una puerta trasera preinstalada diferente que comparte similitudes con BADBOX. Eso no es todo. También se ha descubierto que Keenadu se propaga a través de aplicaciones troyanizadas para cámaras inteligentes en Google Play.

Los nombres de las aplicaciones, que fueron publicadas por un desarrollador llamado Hangzhou Denghong Technology Co., Ltd., son los siguientes:

• Eoolii (com.taismart.global): más de 100.000 descargas
• Ziicam (com.ziicam.aws) – 100,00+ descargas
• Eyeplus-Tu hogar en tus ojos (com.closeli.eyeplus) – Más de 100.000 descargas

Si bien estas aplicaciones ya no están disponibles para descargar desde Google Play, el desarrollador ha publicado el mismo conjunto de aplicaciones a la App Store de Apple también. Cuando se le contactó para hacer comentarios, Kaspersky dijo a The Hacker News que las versiones de iOS de las aplicaciones no incluyen la funcionalidad maliciosa. Esto da crédito a la opinión predominante de que Keenadu está diseñado principalmente para tabletas Android.

Dado que BADBOX actúa como vector de distribución para Keenadu en algunos casos, un análisis más detallado también ha descubierto conexiones de infraestructura entre Triada y BADBOX, lo que indica que estas botnets están interactuando entre sí. En marzo de 2025, HUMAN dijo que identificó superposiciones entre BADBOX y Vo1d, un malware de Android dirigido a cajas de TV de otras marcas basadas en Android.

El descubrimiento de Keenadu es preocupante por dos razones principales:

• Dado que el malware está integrado en libandroid_runtime.so, opera dentro del contexto de cada aplicación del dispositivo. Esto le permite obtener acceso encubierto a todos los datos y hacer que el sandboxing de aplicaciones de Android sea ineficaz.
• La capacidad del malware para eludir los permisos utilizados para controlar los privilegios de las aplicaciones dentro del sistema operativo lo convierte en una puerta trasera que otorga a los atacantes acceso y control ilimitados sobre el dispositivo comprometido.

«Los desarrolladores de puertas traseras preinstaladas en el firmware de los dispositivos Android siempre se han destacado por su alto nivel de experiencia», concluyó Kaspersky. «Esto sigue siendo cierto para Keenadu: los creadores del malware tienen un profundo conocimiento de la arquitectura de Android, el proceso de inicio de la aplicación y los principios básicos de seguridad del sistema operativo».

«Keenadu es una plataforma de malware compleja y de gran escala que proporciona a los atacantes un control ilimitado sobre el dispositivo de la víctima. Aunque actualmente hemos demostrado que la puerta trasera se utiliza principalmente para varios tipos de fraude publicitario, no descartamos que en el futuro el malware pueda seguir los pasos de Triada y comenzar a robar credenciales».

Actualizar

Tras la publicación de la historia, Google confirmó a The Hacker News que las tres aplicaciones maliciosas identificadas han sido eliminadas de Google Play, instando a los usuarios a asegurarse de que sus dispositivos tengan la certificación Play Protect. La declaración completa del portavoz de Google se reproduce textualmente a continuación:

Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Proteger Google Playque está activado de forma predeterminada en dispositivos Android con Servicios de Google Play. Google Play Protect puede advertir a los usuarios y deshabilitar aplicaciones que se sabe que exhiben un comportamiento asociado a Keenadu, incluso cuando esas aplicaciones provienen de fuentes externas a Play. Como mejor práctica de seguridad, recomendamos a los usuarios asegurarse de que su dispositivo esté Certificado Play Protect.