Según nuevos hallazgos de Kaspersky, una nueva puerta trasera de Android que está integrada profundamente en el firmware del dispositivo puede recopilar datos de forma silenciosa y controlar de forma remota su comportamiento.

El proveedor ruso de ciberseguridad dijo que descubrió la puerta trasera, denominada Keenaduen el firmware de dispositivos asociados con varias marcas, incluido Alldocube, y el compromiso se produce durante la fase de compilación del firmware. Keenadu se detectó en el firmware Alldocube iPlay 50 mini Pro que data del 18 de agosto de 2023. En todos los casos, la puerta trasera está integrada en el firmware de la tableta y los archivos de firmware llevan firmas digitales válidas. Los nombres de los otros proveedores no fueron revelados.

«En varios casos, el firmware comprometido se entregó con una actualización OTA», dijo el investigador de seguridad Dmitry Kalinin. dicho en un análisis exhaustivo publicado hoy. «Una copia de la puerta trasera se carga en el espacio de direcciones de cada aplicación al iniciarse. El malware es un cargador de múltiples etapas que otorga a sus operadores la capacidad ilimitada de controlar el dispositivo de la víctima de forma remota».

Algunas de las cargas útiles recuperadas por Keenadu le permiten secuestrar el motor de búsqueda en el navegador, monetizar nuevas instalaciones de aplicaciones e interactuar sigilosamente con elementos publicitarios. Una de las cargas útiles se encontró integrada en varias aplicaciones independientes distribuidas a través de repositorios de terceros, así como en mercados de aplicaciones oficiales como Google Play y Xiaomi GetApps.

Los datos de telemetría sugieren que 13.715 usuarios en todo el mundo han encontrado Keenadu o sus módulos, y la mayoría de los usuarios atacados por el malware se encuentran en Rusia, Japón, Alemania, Brasil y los Países Bajos.

Keenadu fue revelado por primera vez por Kaspersky a finales de diciembre de 2025, describiéndolo como una puerta trasera en libandroid_runtime.so, una biblioteca compartida crítica en el sistema operativo Android que se carga durante el arranque. Una vez que está activo en un dispositivo infectado, se inyecta en el Cigoto proceso, un comportamiento también observado en otro malware de Android llamado Triada.

El malware se invoca mediante una llamada de función agregada a libandroid_runtime.so, después de lo cual verifica si se está ejecutando dentro de aplicaciones del sistema que pertenecen a los servicios de Google o a operadores de telefonía celular como Sprint o T-Mobile. Si es así, se aborta la ejecución. También tiene un interruptor de apagado para finalizarse si encuentra archivos con ciertos nombres en los directorios del sistema.

«A continuación, el troyano comprueba si se está ejecutando dentro del proceso system_server», dijo Kalinin. «Este proceso controla todo el sistema y posee privilegios máximos; lo inicia el proceso Zygote cuando se inicia».

Si esta verificación es verdadera, el malware procede a crear una instancia de la clase AKServer. De lo contrario, crea una instancia de la clase AKClient. El componente AKServer contiene la lógica central y el mecanismo de comando y control (C2), mientras que AKClient se inyecta en cada aplicación iniciada en el dispositivo y sirve como puente para interactuar con AKServer.

Esta arquitectura cliente-servidor permite a AKServer ejecutar cargas maliciosas personalizadas adaptadas a la aplicación específica a la que se dirige. AKServer también expone otra interfaz que los módulos maliciosos descargados dentro de los contextos de otras aplicaciones pueden usar para otorgar o revocar permisos hacia/desde una aplicación arbitraria en el dispositivo, obtener la ubicación actual y extraer información del dispositivo.

El componente AKServer también está diseñado para ejecutar una serie de comprobaciones que hacen que el malware finalice si el idioma de la interfaz es chino y el dispositivo está ubicado dentro de una zona horaria china, o si Google Play Store o los servicios de Google Play no están en el dispositivo. Una vez que se cumplen los criterios necesarios, el troyano descifra la dirección C2 y envía metadatos del dispositivo en formato cifrado al servidor.

En respuesta, el servidor devuelve un objeto JSON cifrado que contiene detalles sobre las cargas útiles. Sin embargo, en lo que parece ser un intento de complicar el análisis y evadir la detección, un control adicional integrado en la puerta trasera impide que el servidor C2 entregue cargas útiles hasta que hayan transcurrido 2,5 meses desde el registro inicial.

«El servidor del atacante entrega información sobre las cargas útiles como una matriz de objetos», explicó Kaspersky. «Cada objeto contiene un enlace de descarga para la carga útil, su hash MD5, nombres de paquetes de aplicaciones de destino, nombres de procesos de destino y otros metadatos. En particular, los atacantes eligieron Alibaba Cloud como su proveedor de CDN».

Algunos de los módulos maliciosos identificados se enumeran a continuación:

• Cargador Keenaduque apunta a tiendas en línea populares como Amazon, Shein y Temu para entregar cargas útiles no especificadas. Sin embargo, se sospecha que permiten agregar artículos al carrito de compras de las aplicaciones sin el conocimiento de la víctima.
• Cargador de clicque se inyecta en YouTube, Facebook, Google Digital Wellbeing y el iniciador del sistema Android para entregar cargas útiles que pueden interactuar con elementos publicitarios en sitios web de juegos, recetas y noticias.
• módulo de Google Chromeque apunta al navegador Chrome para secuestrar solicitudes de búsqueda y redirigirlas a un motor de búsqueda diferente. Sin embargo, vale la pena señalar que el intento de secuestro puede fallar si la víctima selecciona una opción de las sugerencias de autocompletar según las palabras clave ingresadas en la barra de direcciones.
• nuevo clickerque está integrado en el selector de fondos de pantalla del sistema y utiliza aprendizaje automático y WebRTC para interactuar con elementos publicitarios. El mismo componente fue denominado en código Phantom por Doctor Web en un análisis publicado el mes pasado.
• Instalar monetizaciónque está integrado en el iniciador del sistema y monetiza las instalaciones de aplicaciones engañando a las plataformas publicitarias haciéndoles creer que una aplicación se instaló desde un anuncio publicitario legítimo.
• Módulo de Google Playque recupera el ID de publicidad de Google Ads y lo almacena bajo la clave «S_GA_ID3» para que otros módulos lo utilicen probablemente para identificar de forma única a una víctima.

Kaspersky dijo que también identificó otros vectores de distribución de Keenadu, incluso mediante la incorporación del cargador Keenadu en varias aplicaciones del sistema, como el servicio de reconocimiento facial y el iniciador del sistema, en el firmware de varios dispositivos. Esta táctica se observó en otro malware de Android conocido como Dwphon, que se integró en las aplicaciones del sistema responsables de las actualizaciones OTA.

Un segundo método se refiere a un artefacto del cargador Keenadu que está diseñado para operar dentro de un sistema donde el proceso system_server ya había sido comprometido por una puerta trasera preinstalada diferente que comparte similitudes con BADBOX. Eso no es todo. También se ha descubierto que Keenadu se propaga a través de aplicaciones troyanizadas para cámaras inteligentes en Google Play.

Los nombres de las aplicaciones, que fueron publicadas por un desarrollador llamado Hangzhou Denghong Technology Co., Ltd., son los siguientes:

• Eoolii (com.taismart.global): más de 100.000 descargas
• Ziicam (com.ziicam.aws) – 100,00+ descargas
• Eyeplus-Tu hogar en tus ojos (com.closeli.eyeplus) – Más de 100.000 descargas

Si bien estas aplicaciones ya no están disponibles para descargar desde Google Play, el desarrollador ha publicado el mismo conjunto de aplicaciones a la App Store de Apple también. Cuando se le contactó para hacer comentarios, Kaspersky dijo a The Hacker News que las versiones de iOS de las aplicaciones no incluyen la funcionalidad maliciosa. Esto da crédito a la opinión predominante de que Keenadu está diseñado principalmente para tabletas Android.

Dado que BADBOX actúa como vector de distribución para Keenadu en algunos casos, un análisis más detallado también ha descubierto conexiones de infraestructura entre Triada y BADBOX, lo que indica que estas botnets están interactuando entre sí. En marzo de 2025, HUMAN dijo que identificó superposiciones entre BADBOX y Vo1d, un malware de Android dirigido a cajas de TV de otras marcas basadas en Android.

El descubrimiento de Keenadu es preocupante por dos razones principales:

• Dado que el malware está integrado en libandroid_runtime.so, opera dentro del contexto de cada aplicación del dispositivo. Esto le permite obtener acceso encubierto a todos los datos y hacer que el sandboxing de aplicaciones de Android sea ineficaz.
• La capacidad del malware para eludir los permisos utilizados para controlar los privilegios de las aplicaciones dentro del sistema operativo lo convierte en una puerta trasera que otorga a los atacantes acceso y control ilimitados sobre el dispositivo comprometido.

«Los desarrolladores de puertas traseras preinstaladas en el firmware de los dispositivos Android siempre se han destacado por su alto nivel de experiencia», concluyó Kaspersky. «Esto sigue siendo cierto para Keenadu: los creadores del malware tienen un profundo conocimiento de la arquitectura de Android, el proceso de inicio de la aplicación y los principios básicos de seguridad del sistema operativo».

«Keenadu es una plataforma de malware compleja y de gran escala que proporciona a los atacantes un control ilimitado sobre el dispositivo de la víctima. Aunque actualmente hemos demostrado que la puerta trasera se utiliza principalmente para varios tipos de fraude publicitario, no descartamos que en el futuro el malware pueda seguir los pasos de Triada y comenzar a robar credenciales».

Actualizar

Tras la publicación de la historia, Google confirmó a The Hacker News que las tres aplicaciones maliciosas identificadas han sido eliminadas de Google Play, instando a los usuarios a asegurarse de que sus dispositivos tengan la certificación Play Protect. La declaración completa del portavoz de Google se reproduce textualmente a continuación:

Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Proteger Google Playque está activado de forma predeterminada en dispositivos Android con Servicios de Google Play. Google Play Protect puede advertir a los usuarios y deshabilitar aplicaciones que se sabe que exhiben un comportamiento asociado a Keenadu, incluso cuando esas aplicaciones provienen de fuentes externas a Play. Como mejor práctica de seguridad, recomendamos a los usuarios asegurarse de que su dispositivo esté Certificado Play Protect.

Un grupo de actividades de amenazas no documentado previamente se ha atribuido a una campaña maliciosa en curso dirigida a los sectores de educación y atención médica en los EE. UU. desde al menos diciembre de 2025.

Cisco Talos está rastreando la campaña bajo el nombre de UAT-10027. El objetivo final de los ataques es crear una puerta trasera nunca antes vista con el nombre en código Dohdoor.

«Dohdoor utiliza la técnica DNS sobre HTTPS (DoH) para comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otras cargas binarias de manera reflexiva», dijeron los investigadores de seguridad Alex Karkins y Chetan Raghuprasad. dicho en un informe técnico compartido con The Hacker News.

Aunque actualmente se desconoce el vector de acceso inicial utilizado en la campaña, se sospecha que implica el uso de técnicas de phishing de ingeniería social, que conducen a la ejecución de un script de PowerShell.

Luego, el script procede a descargar y ejecutar un script por lotes de Windows desde un servidor de prueba remoto, que, por su parte, facilita la descarga de una biblioteca de vínculos dinámicos (DLL) de Windows maliciosa denominada «propsys.dll» o «batmeter.dll».

La carga útil de la DLL, es decir, Dohdoor, se inicia mediante un ejecutable legítimo de Windows (por ejemplo, «Fondue.exe», «mblctr.exe» y «ScreenClippingHost.exe») mediante una técnica denominada Carga lateral de DLL. El acceso de puerta trasera creado por el implante se utiliza para recuperar una carga útil de la siguiente etapa directamente en la memoria de la víctima y ejecutarla. Se considera que la carga útil es una baliza de ataque de cobalto.

«El actor de amenazas oculta los servidores C2 detrás de la infraestructura de Cloudflare, asegurando que todas las comunicaciones salientes desde la máquina víctima aparezcan como tráfico HTTPS legítimo a una dirección IP global confiable», dijo Talos.

«Esta técnica evita los sistemas de detección basados ​​en DNS, los sumideros de DNS y las herramientas de análisis de tráfico de red que monitorean las búsquedas de dominios sospechosos, asegurando que las comunicaciones C2 del malware permanezcan ocultas ante la infraestructura de seguridad de red tradicional».

También se ha descubierto que Dohdoor desengancha las llamadas al sistema para evitar las soluciones de respuesta y detección de puntos finales (EDR) que monitorean las llamadas a la API de Windows a través de ganchos de modo de usuario en NTDLL.dll.

Actualmente no hay claridad sobre quién está detrás de UAT-10027, pero Cisco Talos dijo que encontró algunas similitudes tácticas entre Dohdoor y Lazarloader, un descargador previamente identificado como utilizado por el grupo de hackers norcoreano Lazarus en ataques dirigidos a Corea del Sur.

«Si bien el malware UAT-10027 comparte superposiciones técnicas con el Grupo Lazarus, el enfoque de la campaña en los sectores de educación y atención médica se desvía del perfil típico de Lazarus de criptomonedas y objetivos de defensa», concluyó Talos.

«Sin embargo, […] Los actores norcoreanos de la APT se han dirigido al sector sanitario utilizando el ransomware Maui, y otro grupo norcoreano de la APT, Kimsuky, ha apuntado al sector educativodestacando las superposiciones en la victimología del UAT-10027 con la de otros APT norcoreanos».