Kaspersky ha detectado un nuevo malware para dispositivos Android, al que ha denominado Keenadu. Esta amenaza se distribuye de múltiples formas: puede venir preinstalada directamente en el firmware del dispositivo, integrarse en aplicaciones del sistema o incluso descargarse desde tiendas oficiales como Google Play. Actualmente se utiliza principalmente para fraude publicitario, empleando los dispositivos infectados como bots que generan clics en anuncios, aunque también puede usarse con fines más dañinos, ya que algunas variantes permiten el control total del dispositivo de la víctima.

Hasta febrero de 2026, las soluciones de seguridad móvil de Kaspersky han detectado más de 13.000 dispositivos infectados con Keenadu. El mayor número de usuarios afectados se ha registrado en Rusia, Japón, Alemania, Brasil y Países Bajos. Además, España figura entre los diez países con mayor número de detecciones de esta amenaza, junto a Turquía, Reino Unido, Francia e Italia.

Integrado en el firmware del dispositivo Al igual que el backdoor Triada detectado por Kaspersky en 2025, algunas versiones de Keenadu se han integrado en el firmware de determinados modelos de tablets Android en alguna fase de la cadena de suministro. En esta variante, Keenadu actúa como un backdoor completamente funcional que otorga a los ciberdelincuentes control ilimitado sobre el dispositivo. Puede infectar cualquier aplicación instalada, instalar nuevas apps desde archivos APK y concederles todos los permisos disponibles.

Como consecuencia, toda la información del dispositivo puede verse comprometida, incluidos archivos multimedia, mensajes, credenciales bancarias o datos de localización. El malware incluso monitoriza las búsquedas que el usuario introduce en el navegador Chrome en modo incógnito.

Cuando está integrado en el firmware, el malware puede comportarse de forma distinta según varios factores. No se activa si el idioma configurado en el dispositivo corresponde a dialectos chinos ni si la zona horaria está configurada en China. Tampoco se ejecuta si el dispositivo no tiene instalados Google Play Store y Google Play Services.

Integrado en aplicaciones del sistema

En esta variante, Keenadu presenta funcionalidades más limitadas. No puede infectar todas las aplicaciones del dispositivo, pero al estar integrado en una app del sistema, que dispone de privilegios elevados, puede instalar otras aplicaciones sin que el usuario lo sepa.

Kaspersky ha detectado Keenadu integrado en una aplicación del sistema responsable del desbloqueo facial del dispositivo, lo que podría permitir a los ciberdelincuentes acceder a datos biométricos del usuario. En otros casos, el malware se encontraba integrado en la aplicación de pantalla de inicio del sistema.

Integrado en aplicaciones distribuidas a través de tiendas Android

Los expertos de Kaspersky también han descubierto varias aplicaciones distribuidas en Google Play infectadas con Keenadu. Se trataba de apps para cámaras domésticas inteligentes que habían sido descargadas más de 300.000 veces. En el momento de la publicación, estas aplicaciones ya habían sido retiradas de la tienda.

Cuando estas apps se ejecutan, los ciberdelincuentes pueden abrir pestañas invisibles del navegador dentro de la propia aplicación, lo que permite visitar páginas web sin que el usuario sea consciente. Investigaciones previas de otros especialistas en ciberseguridad ya habían detectado aplicaciones similares distribuidas mediante archivos APK independientes o a través de otras tiendas de apps.

“Como demuestra nuestra investigación reciente, el malware preinstalado sigue siendo un problema importante en múltiples dispositivos Android. Sin que el usuario realice ninguna acción, un dispositivo puede estar comprometido desde el primer momento. Es fundamental que los usuarios comprendan este riesgo y utilicen soluciones de seguridad capaces de detectar este tipo de amenazas. Es probable que los fabricantes no fueran conscientes de la manipulación en la cadena de suministro que permitió a Keenadu infiltrarse en los dispositivos, ya que el malware imitaba componentes legítimos del sistema. Por ello, resulta esencial revisar todas las fases del proceso de producción para garantizar que el firmware no esté infectado,” afirma Dmitry Kalinin, security researcher at Kaspersky.

Para mantenerse protegido frente a este tipo de amenazas, los expertos de Kaspersky recomiendan: · Utilizar una solución de seguridad fiable que permita detectar amenazas similares en el dispositivo.

· Si se utiliza un dispositivo cuyo firmware esté infectado, comprobar si existen actualizaciones disponibles y, tras instalarlas, analizar el equipo con una solución de seguridad. · Si una aplicación del sistema está infectada, se recomienda dejar de utilizarla y desactivarla. En el caso de que se trate del launcher del dispositivo, desactivar el predeterminado y utilizar uno alternativo.