Alertan sobre Keenadu, el 'malware' preinstalado en algunos nuevos dispositivos Android para fraude publicitario

La investigación realizada por expertos en ciberseguridad reveló que, en algunos casos analizados, Keenadu apareció integrado en aplicaciones de sistema tan sensibles como las encargadas del desbloqueo facial, lo que abrió la posibilidad de que actores maliciosos accediesen a datos biométricos de los usuarios. Este hallazgo se enmarca en la reciente alerta emitida por Kaspersky, que identificó a Keenadu como un ‘malware’ capaz de conceder control total a ciberdelincuentes sobre dispositivos Android, comprometiendo así la seguridad e información personal de los usuarios. La compañía detectó más de 13.000 equipos afectados a nivel mundial hasta febrero de 2026, entre los que España figura entre los países con mayor número de infecciones, según informó Kaspersky a través de un comunicado.

Entre los focos geográficos con más casos confirmados se encuentran Rusia, Japón, Alemania, Brasil y Países Bajos, detalló el medio. España también forma parte de los diez países con más detecciones de esta amenaza, junto a Turquía, Reino Unido, Francia e Italia, reportó Kaspersky. El malware Keenadu utiliza diversas vías para distribuirse: puede estar preinstalado directamente en el ‘firmware’ del dispositivo, integrarse en aplicaciones del sistema o descargarse desde plataformas oficiales como Google Play Store.

De acuerdo con la información proporcionada por Kaspersky, Keenadu posibilita el fraude publicitario al transformar los dispositivos infectados en bots que simulan clics en anuncios, generando beneficios ilícitos. Además, su peligrosidad aumenta por la capacidad de tomar el control completo del equipo. En las variedades que se detectaron incorporadas en el propio firmware, el software actúa como una puerta trasera para los ciberdelincuentes, quienes pueden así instalar nuevas aplicaciones utilizando archivos APK, modificar la configuración del sistema y otorgar todos los permisos requeridos a las apps maliciosas.

La infección de un dispositivo por Keenadu permite a los atacantes acceder a una amplia gama de datos, según puntualizó Kaspersky: desde archivos multimedia, mensajes, credenciales bancarias hasta la localización geográfica del usuario. Además, el malware puede registrar las búsquedas efectuadas en Google Chrome incluso si el navegador opera en modo incógnito.

Kaspersky también advirtió que en ciertos modelos de tabletas Android, la presencia de Keenadu se identificó en una fase indeterminada de la cadena de suministro. Esto reproduce el patrón observado con el troyano Triada, que en 2025 afectó a más de 2.600 teléfonos inteligentes Android falsificados. En ambos casos, la manipulación del firmware permitió que el software malicioso pasara inadvertido para fabricantes y usuarios desde el origen.

La compañía especificó que cuando Keenadu viene integrado en aplicaciones del sistema, su potencial de expansión dentro del dispositivo resulta más limitado: no puede contagiar todas las aplicaciones instaladas, aunque sí accede a privilegios avanzados que permiten, por ejemplo, la instalación de programas sin conocimiento del propietario. En diferentes análisis surgió evidencia de que la amenaza figuraba tanto en aplicaciones de sistema relacionadas con la pantalla de inicio como en otras del ecosistema base de los dispositivos.

En relación con la propagación a través de tiendas oficiales, especialistas de Kaspersky explicaron que aplicaciones dirigidas a la gestión de cámaras inteligentes para el hogar habían sido infectadas con Keenadu antes de ser retiradas de la tienda de Google. Algunas de estas apps, como Ziicam, Eyeplus-Your home in your eyes o Eoolii, llegaron a superar las 300.000 descargas, de acuerdo con lo informado por Kaspersky.

El mecanismo empleado por los ciberdelincuentes en estos casos consistía en que, al ejecutar las aplicaciones infectadas, se abrían pestañas invisibles del navegador dentro de ellas, lo cual servía para visitar anuncios sin que el usuario lo advirtiera, lo que reforzaba el fraude publicitario. Además, esta forma de infección incrementó el nivel de exposición, al utilizar vías de distribución legítimas y con alto tráfico de descargas.

Al analizar el comportamiento del ‘malware’, la compañía observó que su activación depende de ciertos parámetros del dispositivo. Keenadu no se ejecuta si el sistema operativo está configurado en algún dialecto chino o si la zona horaria pertenece a China. Tampoco se activa cuando en el dispositivo no están presentes Google Play Store ni Google Play Services.

Dmitry Kalinin, security researcher de Kaspersky, enfatizó en el comunicado la gravedad de los ‘malwares’ preinstalados al señalar que no requiere intervención del usuario para comenzar a operar. Según sus palabras, “sin que el usuario realice ninguna acción” el dispositivo puede estar comprometido “desde el primer momento”. Kalinin afirmó que es probable que los fabricantes no estuvieran al tanto de la manipulación en la cadena de suministro, una situación facilitada por la capacidad de Keenadu para hacerse pasar por utilidades legítimas del sistema.

El investigador recomendó implementar una verificación exhaustiva de todas las etapas del proceso de fabricación para descartar infecciones en el firmware. Además, sugirió a los usuarios instalar soluciones de seguridad reconocidas en sus dispositivos móviles, comprobar la existencia de actualizaciones, y tras ello, escanear el sistema para detectar la posible presencia de malware. En caso de que alguna aplicación de sistema resulte afectada, Kaspersky aconsejó dejar de utilizarla y proceder a su desactivación.

Kaspersky subrayó que el fenómeno de los ‘malwares’ preinstalados persiste en numerosos terminales Android, representando un desafío para la seguridad, ya que la exposición puede tener lugar desde el momento de la primera utilización del equipo. De acuerdo con los datos compartidos por la empresa, tal como lo consignó el medio, se reitera la importancia de extremar las precauciones tanto en la selección de dispositivos como en el proceso de configuración inicial, así como mantener una vigilancia activa sobre el comportamiento de las aplicaciones instaladas.