{"id":61,"date":"2026-02-26T18:49:38","date_gmt":"2026-02-26T18:49:38","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/la-puerta-trasera-del-firmware-de-keenadu-infecta-tabletas-android-a-traves-de-actualizaciones-ota-firmadas-cyberdefensa-mx\/"},"modified":"2026-02-26T18:49:38","modified_gmt":"2026-02-26T18:49:38","slug":"la-puerta-trasera-del-firmware-de-keenadu-infecta-tabletas-android-a-traves-de-actualizaciones-ota-firmadas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/la-puerta-trasera-del-firmware-de-keenadu-infecta-tabletas-android-a-traves-de-actualizaciones-ota-firmadas-cyberdefensa-mx\/","title":{"rendered":"La puerta trasera del firmware de Keenadu infecta tabletas Android a trav\u00e9s de actualizaciones OTA firmadas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Seg\u00fan nuevos hallazgos de Kaspersky, una nueva puerta trasera de Android que est\u00e1 integrada profundamente en el firmware del dispositivo puede recopilar datos de forma silenciosa y controlar de forma remota su comportamiento.<\/p>\n

El proveedor ruso de ciberseguridad dijo que descubri\u00f3 la puerta trasera, denominada Keenadu<\/strong>en el firmware de dispositivos asociados con varias marcas, incluido Alldocube, y el compromiso se produce durante la fase de compilaci\u00f3n del firmware. Keenadu se detect\u00f3 en el firmware Alldocube iPlay 50 mini Pro que data del 18 de agosto de 2023. En todos los casos, la puerta trasera est\u00e1 integrada en el firmware de la tableta y los archivos de firmware llevan firmas digitales v\u00e1lidas. Los nombres de los otros proveedores no fueron revelados.<\/p>\n

\u00abEn varios casos, el firmware comprometido se entreg\u00f3 con una actualizaci\u00f3n OTA\u00bb, dijo el investigador de seguridad Dmitry Kalinin. dicho<\/a> en un an\u00e1lisis exhaustivo publicado hoy. \u00abUna copia de la puerta trasera se carga en el espacio de direcciones de cada aplicaci\u00f3n al iniciarse. El malware es un cargador de m\u00faltiples etapas que otorga a sus operadores la capacidad ilimitada de controlar el dispositivo de la v\u00edctima de forma remota\u00bb.<\/p>\n

Algunas de las cargas \u00fatiles recuperadas por Keenadu le permiten secuestrar el motor de b\u00fasqueda en el navegador, monetizar nuevas instalaciones de aplicaciones e interactuar sigilosamente con elementos publicitarios. Una de las cargas \u00fatiles se encontr\u00f3 integrada en varias aplicaciones independientes distribuidas a trav\u00e9s de repositorios de terceros, as\u00ed como en mercados de aplicaciones oficiales como Google Play y Xiaomi GetApps.<\/p>\n

Los datos de telemetr\u00eda sugieren que 13.715 usuarios en todo el mundo han encontrado Keenadu o sus m\u00f3dulos, y la mayor\u00eda de los usuarios atacados por el malware se encuentran en Rusia, Jap\u00f3n, Alemania, Brasil y los Pa\u00edses Bajos.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Keenadu fue revelado por primera vez por Kaspersky a finales de diciembre de 2025, describi\u00e9ndolo como una puerta trasera en libandroid_runtime.so, una biblioteca compartida cr\u00edtica en el sistema operativo Android que se carga durante el arranque. Una vez que est\u00e1 activo en un dispositivo infectado, se inyecta en el Cigoto<\/a> proceso, un comportamiento tambi\u00e9n observado en otro malware de Android llamado Triada. <\/p>\n

El malware se invoca mediante una llamada de funci\u00f3n agregada a libandroid_runtime.so, despu\u00e9s de lo cual verifica si se est\u00e1 ejecutando dentro de aplicaciones del sistema que pertenecen a los servicios de Google o a operadores de telefon\u00eda celular como Sprint o T-Mobile. Si es as\u00ed, se aborta la ejecuci\u00f3n. Tambi\u00e9n tiene un interruptor de apagado para finalizarse si encuentra archivos con ciertos nombres en los directorios del sistema.<\/p>\n

\u00abA continuaci\u00f3n, el troyano comprueba si se est\u00e1 ejecutando dentro del proceso system_server\u00bb, dijo Kalinin. \u00abEste proceso controla todo el sistema y posee privilegios m\u00e1ximos; lo inicia el proceso Zygote cuando se inicia\u00bb.<\/p>\n

Si esta verificaci\u00f3n es verdadera, el malware procede a crear una instancia de la clase AKServer. De lo contrario, crea una instancia de la clase AKClient. El componente AKServer contiene la l\u00f3gica central y el mecanismo de comando y control (C2), mientras que AKClient se inyecta en cada aplicaci\u00f3n iniciada en el dispositivo y sirve como puente para interactuar con AKServer.<\/p>\n

Esta arquitectura cliente-servidor permite a AKServer ejecutar cargas maliciosas personalizadas adaptadas a la aplicaci\u00f3n espec\u00edfica a la que se dirige. AKServer tambi\u00e9n expone otra interfaz que los m\u00f3dulos maliciosos descargados dentro de los contextos de otras aplicaciones pueden usar para otorgar o revocar permisos hacia\/desde una aplicaci\u00f3n arbitraria en el dispositivo, obtener la ubicaci\u00f3n actual y extraer informaci\u00f3n del dispositivo.<\/p>\n

El componente AKServer tambi\u00e9n est\u00e1 dise\u00f1ado para ejecutar una serie de comprobaciones que hacen que el malware finalice si el idioma de la interfaz es chino y el dispositivo est\u00e1 ubicado dentro de una zona horaria china, o si Google Play Store o los servicios de Google Play no est\u00e1n en el dispositivo. Una vez que se cumplen los criterios necesarios, el troyano descifra la direcci\u00f3n C2 y env\u00eda metadatos del dispositivo en formato cifrado al servidor.<\/p>\n

\"\"<\/a><\/div>\n

En respuesta, el servidor devuelve un objeto JSON cifrado que contiene detalles sobre las cargas \u00fatiles. Sin embargo, en lo que parece ser un intento de complicar el an\u00e1lisis y evadir la detecci\u00f3n, un control adicional integrado en la puerta trasera impide que el servidor C2 entregue cargas \u00fatiles hasta que hayan transcurrido 2,5 meses desde el registro inicial.<\/p>\n

\u00abEl servidor del atacante entrega informaci\u00f3n sobre las cargas \u00fatiles como una matriz de objetos\u00bb, explic\u00f3 Kaspersky. \u00abCada objeto contiene un enlace de descarga para la carga \u00fatil, su hash MD5, nombres de paquetes de aplicaciones de destino, nombres de procesos de destino y otros metadatos. En particular, los atacantes eligieron Alibaba Cloud como su proveedor de CDN\u00bb.<\/p>\n

Algunos de los m\u00f3dulos maliciosos identificados se enumeran a continuaci\u00f3n:<\/p>\n