Kaspersky identificó un nuevo malware para dispositivos Android denominado Keenadu, capaz de infiltrarse incluso antes de que el equipo llegue al usuario.
La amenaza puede venir preinstalada en el firmware, integrada en aplicaciones del sistema o distribuida mediante tiendas oficiales como Google Play.
El hallazgo rompe la premisa de que un dispositivo nuevo es seguro por defecto. Según la compañía, cuando el software malicioso se introduce en etapas previas a la venta, el usuario pierde capacidad de prevención básica.
Además del fraude publicitario, el riesgo central es el acceso profundo al sistema y a datos sensibles. La amenaza compromete no solo a consumidores, sino a toda la cadena de suministro tecnológica.
Keenadu en Android: malware preinstalado y riesgo estructural
Leandro Cuozzo, analista del equipo global de investigación para América Latina en Kaspersky, advirtió que el problema trasciende al usuario final.
Cuando el malware se integra antes de la comercialización, puede acceder a credenciales, datos personales e incluso información biométrica.
Hasta febrero de 2026, las soluciones móviles de la firma detectaron más de 13.000 dispositivos infectados a nivel global. América Latina figura entre las regiones afectadas, con foco en Brasil.
El diseño de Keenadu prioriza persistencia y sigilo para evitar detección temprana. Su arquitectura revela un nivel de sofisticación alineado con amenazas avanzadas.
Integrado en el firmware: control total del dispositivo
Al igual que el backdoor Triada detectado en 2025, algunas variantes de Keenadu fueron incorporadas directamente en el sistema interno durante fabricación o distribución.
En esos casos, el equipo puede estar comprometido incluso antes del primer encendido. El malware actúa como puerta trasera, otorgando control total a los ciberdelincuentes. Puede modificar apps existentes, instalar nuevas sin autorización y conceder todos los permisos.
La información expuesta incluye archivos multimedia, mensajes, credenciales bancarias y datos de localización.
También monitorea búsquedas realizadas en Google Chrome, incluso en modo incógnito.
Activación selectiva y evasión de detección
Cuando está integrado en el sistema, Keenadu adapta su comportamiento según el entorno. No se activa si el idioma del equipo está configurado en dialectos chinos o si la zona horaria corresponde a China.
Tampoco opera en dispositivos sin Google Play Store y Google Play Services instalados. Esta lógica selectiva sugiere un diseño orientado a objetivos geográficos específicos. El patrón de evasión dificulta el análisis forense y la identificación masiva.
El comportamiento condicional evidencia planificación y segmentación del ataque. En otras variantes, Keenadu se integra en apps del sistema con privilegios elevados. Kaspersky lo detectó en una aplicación responsable del desbloqueo facial, lo que abre riesgo sobre datos biométricos. También se identificó en la aplicación de pantalla de inicio del dispositivo.
Los investigadores hallaron además apps infectadas disponibles en Google Play, incluidas aplicaciones para controlar cámaras domésticas inteligentes con más de 300.000 descargas.
Estas apps podían abrir páginas web en segundo plano y generar actividad oculta. El caso confirma que incluso las tiendas oficiales pueden ser utilizadas como vector de distribución maliciosa.
Recomendaciones para mitigar el riesgo en Android
Kaspersky recomienda adquirir dispositivos en canales oficiales y verificar que el fabricante publique actualizaciones de seguridad periódicas.
Mantener el sistema operativo y las aplicaciones actualizadas reduce vulnerabilidades explotables. También aconseja utilizar soluciones integrales como Kaspersky Premium para Android para detectar amenazas ocultas.
La protección avanzada permite bloquear apps maliciosas incluso si operan en segundo plano. La prevención debe extenderse a toda la cadena de distribución tecnológica.
En un entorno donde el malware puede venir de fábrica, la ciberseguridad móvil se convierte en prioridad estratégica.
