Actualmente, Keenadu se utiliza principalmente para cometer fraude publicitario, usando los dispositivos infectados para generar clics falsos en anuncios sin que el usuario lo note. Sin embargo, algunas de sus variantes van mucho más allá y pueden dar a los ciberdelincuentes el control total del equipo.
Hasta febrero de 2026, las soluciones de seguridad móvil de Kaspersky han detectado más de 13.000 dispositivos infectados a nivel global, siendo América Latina una de las regiones afectadas, principalmente Brasil.
Integrado en el firmware del dispositivo
Al igual que el backdoor Triada detectado por Kaspersky en 2025, algunas versiones de Keenadu han sido incorporadas directamente en el sistema interno de ciertos dispositivos Android durante el proceso de fabricación o distribución. Esto significa que el equipo puede estar comprometido incluso antes de que el usuario lo encienda por primera vez.
En estos casos, Keenadu funciona como una puerta trasera que permite a los ciberdelincuentes tener el control total del dispositivo. Puede modificar aplicaciones ya instaladas, descargar nuevas sin autorización y otorgarles todos los permisos, lo que pone en riesgo toda la información almacenada en el equipo.
Como consecuencia, toda la información del dispositivo puede verse comprometida, incluidos archivos multimedia, mensajes, credenciales bancarias o datos de localización. El malware incluso monitoriza las búsquedas que el usuario introduce en el navegador Chrome en modo incógnito.
Cuando está integrado en el sistema del dispositivo, Keenadu puede adaptarse según ciertas condiciones. Por ejemplo, no se activa si el idioma del equipo está configurado en dialectos chinos o si la zona horaria corresponde a China.
Tampoco entre en funcionamiento si el dispositivo no cuenta con Google Play Store y Google Play Services instalados. Este tipo de comportamientos selectivos sugiere que el malware está diseñado para operar solo en determinados entornos y pasar desapercibido en otros.
Integrado en aplicaciones del sistema
En esta variante, Keenadu presenta funcionalidades más limitadas. No puede infectar todas las aplicaciones del dispositivo, pero al estar integrado en una aplicación del sistema, que dispone de privilegios elevados, puede instalar otras aplicaciones sin que el usuario lo sepa.
Kaspersky ha detectado Keenadu integrado en una aplicación del sistema responsable del desbloqueo facial del dispositivo, lo que podría permitir a los ciberdelincuentes acceder a datos biométricos del usuario. En otros casos, el malware se encontraba integrado en la aplicación de pantalla de inicio del sistema.
Integrado en aplicaciones distribuidas a través de tiendas Android
Los expertos de Kaspersky también identificaron aplicaciones disponibles en Google Play que estaban infectadas con Keenadu. Se trataba de aplicaciones para el control de cámaras domésticas inteligentes que acumulaban más de 300.000 descargas antes de ser retiradas de la tienda.
Una vez instaladas, estas aplicaciones podían abrir páginas web en un segundo plano, sin que el usuario lo notara, generando actividad oculta desde el dispositivo. Casos similares ya habían sido detectados en aplicaciones que se descargan fuera de las tiendas oficiales o desde otras tiendas alternativas.
Aplicaciones infectadas detectadas en Google Play
«Este tipo de amenazas es especialmente preocupante porque rompe la principal barrera de confianza del ecosistema móvil: la idea de que un dispositivo nuevo es seguro por defecto. Cuando el malware se infiltra en etapas previas a la venta, el usuario pierde la capacidad de prevenir el riesgo con buenas prácticas básicas.
Además del fraude publicitario, el verdadero peligro es el acceso profundo al sistema, que puede comprometer datos personales, credenciales y hasta información biométrica. Por eso, este no es solo un problema del consumidor final, sino un desafío para toda la cadena de suministro tecnológico, que debe reforzar sus controles para evitar que el software sea manipulado antes de llegar al mercado”, asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Para evitar estas vulnerabilidades, los expertos de Kaspersky recomiendan:
1. Revisar el origen del dispositivo y evitar compras en canales no oficiales. Siempre que sea posible, adquiera equipos en tiendas autorizadas y verifique que el fabricante publique actualizaciones periódicas de seguridad.
2. Mantener el sistema y las aplicaciones actualizados. Instalar las actualizaciones disponibles del sistema operativo y de las apps, ya que corrigen muchas vulnerabilidades que pueden ser aprovechadas por este tipo de amenazas.
3. Contar con una solución de seguridad integral como Kaspersky Premium para Android, que permite detectar amenazas ocultas, bloquear aplicaciones maliciosas y proteger la información personal incluso si el malware intenta operar en segundo plano.
