Keenadu: un backdoor en el firmware infecta tablets Android mediante actualizaciones OTA firmadas

Kaspersky ha descubierto un nuevo backdoor para Android, llamado Keenadu, que está incrustado en el firmware de tablets de varias marcas, incluyendo Alldocube. El malware, que se distribuye a través de actualizaciones OTA firmadas, se inyecta en todos los procesos y permite a los atacantes controlar el dispositivo de forma remota, robar datos y realizar fraudes publicitarios. Afecta a más de 13.700 usuarios en todo el mundo, principalmente en Rusia, Japón, Alemania, Brasil y Países Bajos.

Kaspersky ha revelado la existencia de un nuevo backdoor para Android, bautizado como Keenadu, que se encuentra profundamente integrado en el firmware de los dispositivos. Este malware, descubierto en tablets de marcas como Alldocube, se introduce durante la fase de compilación del firmware y se distribuye mediante actualizaciones OTA (Over-The-Air) que llevan firmas digitales válidas. El backdoor ha sido detectado en el firmware del modelo Alldocube iPlay 50 mini Pro desde agosto de 2023.

Según el investigador de Kaspersky Dmitry Kalinin, el malware se carga en el espacio de direcciones de cada aplicación al iniciarse. Es un cargador de múltiples etapas que otorga a los atacantes la capacidad de controlar el dispositivo de forma remota sin restricciones. Las cargas útiles recuperadas por Keenadu pueden secuestrar el motor de búsqueda del navegador, monetizar nuevas instalaciones de aplicaciones e interactuar con elementos publicitarios de forma sigilosa.

Mecanismo de infección y arquitectura

Keenadu se inyecta en la biblioteca compartida libandroid_runtime.so, que se carga durante el arranque del sistema. Una vez activo, se introduce en el proceso Zygote, el padre de todas las aplicaciones Android. El malware utiliza una arquitectura cliente-servidor: el componente AKServer contiene la lógica principal y el mecanismo de comando y control (C2), mientras que AKClient se inyecta en cada aplicación y sirve como puente para interactuar con AKServer. Este diseño permite ejecutar cargas útiles maliciosas personalizadas según la aplicación objetivo.

El backdoor realiza varias comprobaciones para evitar la detección: se detiene si el idioma de la interfaz es chino y el dispositivo está en una zona horaria china, o si faltan Google Play Store o Google Play Services. También incluye un mecanismo de retardo: el servidor C2 no entrega cargas útiles hasta que hayan transcurrido 2,5 meses desde el primer contacto, dificultando el análisis.

Módulos maliciosos identificados

Keenadu loader: apunta a tiendas online como Amazon, Shein y Temu, sospechándose que añade artículos al carrito sin conocimiento de la víctima.
Clicker loader: se inyecta en YouTube, Facebook, Google Digital Wellbeing y el lanzador de Android para interactuar con anuncios en sitios web de juegos, recetas y noticias.
Google Chrome module: secuestra las búsquedas en Chrome y las redirige a otro motor de búsqueda.
Nova clicker: integrado en el selector de fondos de pantalla del sistema, usa machine learning y WebRTC para interactuar con anuncios. También conocido como Phantom en un análisis de Doctor Web.
Install monetization: integrado en el lanzador del sistema, engaña a plataformas publicitarias haciéndoles creer que una app se instaló desde un clic legítimo.
Google Play module: obtiene el ID de publicidad de Google Ads y lo almacena para identificar a la víctima.

Vectores de distribución adicionales

Kaspersky también encontró Keenadu distribuido mediante cargadores incrustados en aplicaciones del sistema, como el servicio de reconocimiento facial y el lanzador, en el firmware de varios dispositivos. Además, se ha propagado a través de aplicaciones troyanizadas para cámaras inteligentes en Google Play, publicadas por el desarrollador Hangzhou Denghong Technology Co., Ltd. Las aplicaciones maliciosas, ya eliminadas de Google Play, son Eoolii (más de 100.000 descargas), Ziicam y Eyeplus. Las versiones para iOS no contienen la funcionalidad maliciosa, lo que confirma que Keenadu se dirige principalmente a tablets Android.

Impacto y conexiones con otros malware

Los datos de telemetría indican que 13.715 usuarios han sido afectados por Keenadu, con la mayoría en Rusia, Japón, Alemania, Brasil y Países Bajos. Se han encontrado conexiones de infraestructura entre Keenadu y otros malware como Triada y BADBOX, lo que sugiere que estas botnets interactúan entre sí. En marzo de 2025, HUMAN informó superposiciones entre BADBOX y Vo1d, otro malware Android dirigido a TV boxes.

Implicaciones y respuesta de Google

Keenadu es especialmente peligroso porque, al estar incrustado en libandroid_runtime.so, opera en el contexto de todas las aplicaciones, eludiendo el sandboxing de Android y accediendo a todos los datos. Además, puede saltarse los permisos del sistema, convirtiéndose en una puerta trasera que otorga control total al atacante. Kaspersky advierte que, aunque actualmente se usa para fraude publicitario, podría evolucionar para robar credenciales, como hizo Triada.

Google confirmó a The Hacker News que las tres aplicaciones maliciosas han sido eliminadas de Google Play y que Google Play Protect protege automáticamente a los usuarios, incluso contra aplicaciones de fuentes externas. Recomiendan asegurarse de que el dispositivo esté certificado por Play Protect.