Expertos en ciberseguridad han alertado sobre Keenadu, un nuevo malware que afecta a dispositivos con Android y que destaca por su capacidad de infiltrarse en distintas capas del sistema. A diferencia de otras amenazas que requieren que el usuario descargue una aplicación maliciosa, Keenadu puede venir preinstalado directamente en el firmware del dispositivo, integrarse en aplicaciones del sistema o incluso distribuirse a través de tiendas oficiales como Google Play.
La advertencia fue emitida por la compañía de ciberseguridad Kaspersky, que ha detectado más de 13.000 dispositivos infectados a nivel global hasta febrero de 2026 mediante sus soluciones de seguridad móvil. Los países con mayor número de casos identificados incluyen Rusia, Japón, Alemania, Brasil y Países Bajos. España también figura entre los diez territorios con más detecciones, junto con Turquía, Reino Unido, Francia e Italia.
Un malware con múltiples vías de entrada
Keenadu es utilizado principalmente para fraude publicitario. Los ciberdelincuentes convierten los dispositivos infectados en bots capaces de generar clics falsos en anuncios, obteniendo beneficios económicos de manera ilícita. Sin embargo, algunas variantes van mucho más allá y permiten el control total del equipo afectado.
Según los investigadores, en ciertos casos el malware se ha integrado en el firmware durante alguna fase de la cadena de suministro, lo que implica que el dispositivo puede estar comprometido desde el primer encendido, sin que el usuario haya realizado ninguna acción. Esta técnica recuerda a lo ocurrido con el troyano Triada, detectado previamente en smartphones Android falsificados.
Cuando Keenadu actúa como puerta trasera o “backdoor”, los atacantes pueden instalar aplicaciones adicionales mediante archivos APK, modificar configuraciones del sistema y conceder permisos elevados sin conocimiento del propietario del dispositivo. Esto abre la puerta al robo de información sensible como archivos multimedia, mensajes, credenciales bancarias y datos de localización.
Incluso se ha identificado la capacidad de monitorizar búsquedas realizadas en Google Chrome en modo incógnito, lo que evidencia el alto nivel de acceso que puede alcanzar esta amenaza.
Curiosamente, el malware puede comportarse de forma diferente según la configuración del equipo. Por ejemplo, no se activa si el idioma del dispositivo corresponde a dialectos chinos o si la zona horaria está configurada en China. Tampoco se ejecuta en terminales que no tengan instalados Google Play Store o Google Play Services.
Infiltrado en aplicaciones del sistema y apps populares
En otras variantes, Keenadu se integra en aplicaciones del sistema con privilegios elevados. Aunque en estos casos no puede infectar todas las apps del dispositivo, sí puede instalar software adicional sin autorización del usuario.
Uno de los ejemplos analizados por los expertos reveló que el malware estaba integrado en una aplicación responsable del desbloqueo facial del dispositivo, lo que potencialmente permitiría acceder a datos biométricos. En otros casos, se encontraba dentro de la aplicación de pantalla de inicio del sistema.
También se detectaron aplicaciones distribuidas en Google Play que contenían Keenadu. Entre ellas figuraban apps para cámaras domésticas inteligentes que acumulaban más de 300.000 descargas antes de ser retiradas. Algunas de las aplicaciones identificadas fueron Ziicam, Eyeplus-Your home in your eyes y Eoolii. Estas apps podían abrir pestañas invisibles dentro de la propia aplicación para visitar páginas web de forma oculta y generar actividad fraudulenta.
Riesgo en la cadena de suministro
Desde Kaspersky señalan que es probable que los fabricantes no fueran conscientes de la manipulación en la cadena de suministro que permitió la infiltración del malware, ya que Keenadu imitaba componentes legítimos del sistema. Este tipo de ataque pone en evidencia la necesidad de revisar exhaustivamente todas las fases del proceso de producción para garantizar que el firmware no esté comprometido.
Para los usuarios, los expertos recomiendan instalar soluciones de seguridad confiables en dispositivos móviles, mantener el sistema actualizado y analizar el equipo tras cada actualización importante. Si se detecta que una aplicación del sistema está infectada, se aconseja desactivarla y evitar su uso.
El caso de Keenadu demuestra que los malwares preinstalados continúan siendo una amenaza significativa en el ecosistema Android. La posibilidad de que un dispositivo esté comprometido desde el primer momento, sin intervención del usuario, refuerza la importancia de la vigilancia tanto por parte de fabricantes como de consumidores.