La puerta trasera del firmware de Keenadu infec...

Según los nuevos hallazgos de Kaspersky, una nueva puerta trasera de Android que está integrada profundamente en el firmware del dispositivo puede recopilar datos de forma silenciosa y controlar su comportamiento de forma remota.

El proveedor ruso de ciberseguridad dijo que descubrió la puerta trasera, denominada Keenadu , en el firmware de dispositivos asociados a varias marcas, incluida Alldocube, y el compromiso se produce durante la fase de creación del firmware. Se detectó Keenadu en el firmware del iPlay 50 mini Pro de Alldocube desde el 18 de agosto de 2023. En todos los casos, la puerta trasera está integrada en el firmware de la tableta y los archivos de firmware contienen firmas digitales válidas. Los nombres de los demás proveedores no fueron revelados.

«En varios casos, el firmware comprometido se entregó con una actualización OTA», dijo el investigador de seguridad Dmitry Kalinin dijo en un análisis exhaustivo publicado hoy. «Al iniciarse, se carga una copia de la puerta trasera en el espacio de direcciones de cada aplicación. El malware se carga en varias etapas y permite a sus operadores controlar sin restricciones el dispositivo de la víctima de forma remota».

Algunas de las cargas útiles recuperadas por Keenadu le permiten secuestrar el motor de búsqueda del navegador, monetizar la instalación de nuevas aplicaciones e interactuar sigilosamente con los elementos del anuncio. Se ha descubierto que una de las cargas útiles está incrustada en varias aplicaciones independientes distribuidas a través de repositorios de terceros, así como en mercados oficiales de aplicaciones como Google Play y Xiaomi GetApps.

Los datos de telemetría sugieren que 13.715 usuarios de todo el mundo se han topado con Keenadu o sus módulos, y que la mayoría de los usuarios atacados por el malware se encuentran en Rusia, Japón, Alemania, Brasil y los Países Bajos.

Keenadu era divulgado por primera vez de Kaspersky a finales de diciembre de 2025, describiéndolo como una puerta trasera en libandroid_runtime.so, una biblioteca compartida fundamental del sistema operativo Android que se carga durante el arranque. Una vez que se activa en un dispositivo infectado, se inyecta en el Cigoto proceso, un comportamiento que también se observa en otro malware de Android llamado Triada .

El malware se invoca mediante una llamada a una función añadida a libandroid_runtime.so, tras la cual comprueba si se ejecuta en aplicaciones del sistema que pertenecen a los servicios de Google o a operadores de telefonía móvil como Sprint o T-Mobile. Si es así, se cancela la ejecución. También tiene un interruptor de desconexión automática que se cierra automáticamente si encuentra archivos con ciertos nombres en los directorios del sistema.

«A continuación, el troyano comprueba si se está ejecutando dentro del proceso system_server», dijo Kalinin. «Este proceso controla todo el sistema y posee los máximos privilegios; el proceso de Zygote lo inicia cuando se inicia».

Si esta comprobación es verdadera, el malware procede a crear una instancia de la clase AKServer. De lo contrario, crea una instancia de la clase AKClient. El componente AKServer contiene la lógica básica y el mecanismo de comando y control (C2), mientras que AKClient se inyecta en cada aplicación que se lanza en el dispositivo y sirve como puente para interactuar con AKServer.

Esta arquitectura cliente-servidor permite a AKServer ejecutar cargas maliciosas personalizadas adaptadas a la aplicación específica a la que se dirige. AKServer también descubrió otra interfaz que los módulos malintencionados descargados en el contexto de otras aplicaciones pueden utilizar para conceder o revocar permisos hacia/desde una aplicación arbitraria del dispositivo, obtener la ubicación actual y filtrar la información del dispositivo.

El componente AKServer también está diseñado para ejecutar una serie de comprobaciones que provocan la finalización del malware si el idioma de la interfaz es el chino y el dispositivo se encuentra dentro de una zona horaria china, o si Google Play Store o los servicios de Google Play no están en el dispositivo. Una vez que se cumplen los criterios necesarios, el troyano descifra la dirección C2 y envía los metadatos del dispositivo en formato cifrado al servidor.

En respuesta, el servidor devuelve un objeto JSON cifrado que contiene detalles sobre las cargas útiles. Sin embargo, en lo que parece ser un intento de complicar el análisis y evitar la detección, una comprobación adicional integrada en la puerta trasera impide que el servidor C2 entregue cualquier carga útil hasta que hayan transcurrido 2,5 meses desde el registro inicial.

«El servidor del atacante entrega información sobre las cargas útiles en forma de matriz de objetos», explicó Kaspersky. «Cada objeto contiene un enlace de descarga para la carga útil, su hash MD5, los nombres de los paquetes de las aplicaciones de destino, los nombres de los procesos de destino y otros metadatos. Cabe destacar que los atacantes eligieron Amazon AWS como su proveedor de CDN».

Algunos de los módulos maliciosos identificados se enumeran a continuación:

• Cargador Keenadu , que se dirige a tiendas online populares como Amazon, Shein y Temu para ofrecer cargas útiles no especificadas. Sin embargo, se sospecha que permiten añadir artículos a los carritos de compra de las aplicaciones sin que la víctima lo sepa.
• Cargador Clicker , que se incorpora a YouTube, Facebook, Google Digital Wellbeing y Android System Launcher para ofrecer cargas útiles que pueden interactuar con los elementos publicitarios de los sitios web de juegos, recetas y noticias.
• Módulo Google Chrome , que apunta al navegador Chrome para secuestrar las solicitudes de búsqueda y redirigirlas a un motor de búsqueda diferente. Sin embargo, cabe señalar que el intento de secuestro puede fallar si la víctima selecciona una opción de entre las sugerencias de autocompletar basándose en las palabras clave introducidas en la barra de direcciones.
• Nova clicker , que está integrado en el selector de fondos de pantalla del sistema y utiliza el aprendizaje automático y WebRTC para interactuar con los elementos publicitarios. El mismo componente recibió el nombre en código Fantasma de Doctor Web en un análisis publicado el mes pasado.
• Instala la monetización , que está integrado en el lanzador del sistema y monetiza las instalaciones de aplicaciones engañando a las plataformas de publicidad haciéndoles creer que una aplicación se instaló a partir de un toque publicitario legítimo.
• Módulo Google Play , que recupera el ID de publicidad de Google Ads y lo almacena en la clave «S_GA_ID3" para que otros módulos puedan usarlo para identificar de forma exclusiva a la víctima.

Kaspersky dijo que también identificó otros vectores de distribución de Keenadu, incluso al integrar el cargador de Keenadu en varias aplicaciones del sistema, como el servicio de reconocimiento facial y el lanzador del sistema, en el firmware de varios dispositivos. Esta táctica se ha observado en otro malware para Android conocido como Defón , que se integró en las aplicaciones del sistema responsables de las actualizaciones de OTA.

Un segundo método se refiere a un artefacto de carga de Keenadu diseñado para funcionar en un sistema en el que el proceso system_server ya se había visto comprometido por una puerta trasera diferente preinstalada que comparte similitudes con CAJA MALA . Eso no es todo. También se ha descubierto que Keenadu se propaga a través de aplicaciones troyanas para cámaras inteligentes en Google Play.

Los nombres de las aplicaciones, que fueron publicadas por un desarrollador llamado Hangzhou Denghong Technology Co., Ltd., son los siguientes:

• Eoolii (com.taismart.global) - Más de 100.000 descargas
• Ziicam (com.ziicam.aws) - Más de 100 descargas
• Eyeplus-Tu hogar en tus ojos (com.closeli.eyeplus): más de 100.000 descargas

Si bien estas aplicaciones ya no están disponibles para su descarga desde Google Play, el desarrollador ha publicado también el mismo conjunto de aplicaciones para la App Store de Apple. No está claro si las contrapartes de iOS incluyen la funcionalidad Keenadu. The Hacker News se ha puesto en contacto con Kaspersky para solicitar comentarios, y actualizaremos la historia si tenemos noticias. Dicho esto, se cree que Keenadu está diseñado principalmente para tabletas Android.

Dado que BADBOX actúa como vector de distribución para Keenadu en algunos casos, un análisis más detallado también ha descubierto conexiones de infraestructura entre Triada y BADBOX, lo que indica que estas botnets interactúan entre sí. En marzo de 2025, HUMAN lo dijo identificados superposiciones entre BADBOX y VO1d , un malware para Android dirigido a televisores Android que no son de marca.

El descubrimiento de Keenadu es preocupante por dos razones principales:

• Dado que el malware está integrado en libandroid_runtime.so, funciona en el contexto de cada aplicación del dispositivo. Esto le permite obtener acceso encubierto a todos los datos y hacer que el sandboxing de aplicaciones de Android sea ineficaz.
• La capacidad del malware para eludir los permisos utilizados para controlar los privilegios de las aplicaciones dentro del sistema operativo lo convierte en una puerta trasera que otorga a los atacantes acceso y control sin restricciones sobre el dispositivo comprometido.

«Los desarrolladores de puertas traseras preinstaladas en el firmware de los dispositivos Android siempre se han destacado por su alto nivel de experiencia», concluyó Kaspersky. «Esto sigue siendo válido para Keenadu: los creadores del malware tienen un conocimiento profundo de la arquitectura de Android, el proceso de inicio de las aplicaciones y los principios básicos de seguridad del sistema operativo».

«Keenadu es una plataforma de malware compleja y a gran escala que proporciona a los atacantes un control sin restricciones sobre el dispositivo de la víctima. Aunque actualmente hemos demostrado que la puerta trasera se utiliza principalmente para varios tipos de fraude publicitario, no descartamos que, en el futuro, el malware siga los pasos de Triada y comience a robar credenciales».