- Keenadu puede venir preinstalado en el firmware o integrado en apps de sistema y de Google Play.
- Más de 13.000 dispositivos Android nuevos han sido infectados en todo el mundo.
- El malware se usa para fraude publicitario y puede otorgar control total del dispositivo.
- España y varios países europeos figuran entre los más afectados por esta amenaza.
Keenadu se ha convertido en una de las amenazas más inquietantes para los usuarios de Android, no solo por lo que hace, sino por cómo llega a los dispositivos: en muchos casos viene ya incluido de serie, como otros casos de malware preinstalado en Android, en el propio teléfono o tableta, antes incluso de que el comprador encienda el equipo por primera vez.
Expertos en ciberseguridad han avisado de que España figura entre los países con mayor número de detecciones de este software malicioso, dentro de un escenario global donde también destacan varios Estados europeos. El problema no se limita a móviles de dudosa procedencia: algunas infecciones se han detectado en dispositivos nuevos distribuidos a través de canales aparentemente legítimos.
MADRID, 17 Feb. (Portaltic/EP) – Los laboratorios de distintas firmas especializadas han analizado en detalle esta nueva familia de malware, bautizada como Keenadu, que se dirige a teléfonos y tabletas Android. La amenaza puede venir incorporada en el firmware del dispositivo, camuflarse en aplicaciones del sistema o colarse mediante apps publicadas en tiendas oficiales como Google Play.
Los ciberdelincuentes utilizan Keenadu principalmente para fraude publicitario, transformando los dispositivos en bots que lanzan clics automáticos sobre anuncios, generando un flujo de ingresos ilegítimos. No obstante, varios análisis han demostrado que algunas variantes son mucho más agresivas y pueden brindar un control casi absoluto del terminal comprometido, lo que multiplica los riesgos para la privacidad y la seguridad.
La compañía de seguridad Kaspersky, que ha sido una de las primeras en documentar este caso, señala que ya ha identificado más de 13.000 dispositivos infectados en todo el mundo a través de sus soluciones móviles. Esta cifra corresponde a detecciones acumuladas hasta febrero de 2026 y se centra exclusivamente en móviles y tabletas nuevos, lo que refleja la gravedad del problema en la cadena de suministro.
Entre los países con mayor número de usuarios afectados se encuentran Rusia, Japón, Alemania, Brasil y Países Bajos. Sin embargo, España también aparece entre los diez territorios con más detecciones, junto con Turquía, Reino Unido, Francia e Italia, lo que coloca a Europa en una posición especialmente delicada frente a este tipo de ataque.
Un malware que se cuela en la cadena de suministro
Los investigadores destacan que Keenadu sigue una estrategia similar a la del troyano Triada, que se hizo conocido al aparecer en miles de smartphones Android falsificados. En este nuevo caso, el código malicioso se ha detectado incrustado en la firmware de determinados modelos de tabletas Android durante alguna fase de la cadena de producción o distribución, antes de llegar al mercado.
Esta modalidad convierte a Keenadu en una puerta trasera permanente, o backdoor, que ofrece a los atacantes acceso ilimitado al dispositivo. Una vez dentro, el malware es capaz de infectar cualquier app que se instale, añadir nuevas aplicaciones a partir de archivos APK, y modificar la configuración del sistema para otorgarse todos los permisos necesarios sin intervención del usuario.
Como consecuencia, la información almacenada en el dispositivo queda seriamente expuesta: desde fotografías y vídeos hasta mensajes privados, ubicaciones registradas y credenciales bancarias. Los analistas han comprobado incluso que Keenadu puede monitorizar las búsquedas realizadas en Chrome en modo incógnito, desvirtuando por completo la sensación de navegación privada.
Una particularidad llamativa de este malware es que no se comporta igual en todos los dispositivos. Su activación depende de parámetros como el idioma configurado o la zona horaria, y se ha observado que no se ejecuta si el sistema está ajustado a dialectos chinos o si la hora corresponde al territorio chino. Tampoco se activa en equipos que carecen de Google Play Store o de los servicios de Google Play.
Los expertos sospechan que esta lógica interna responde a un intento de los creadores de evitar detecciones o problemas legales en determinadas jurisdicciones, mientras centran sus esfuerzos en otros mercados donde las probabilidades de beneficio económico o impunidad son mayores, entre ellos varios países europeos.
Integrado en apps del sistema con privilegios elevados
Más allá del firmware, las investigaciones han revelado que Keenadu también se oculta en aplicaciones del sistema preinstaladas. En esta variante, el código malicioso no siempre puede infectar todas las apps del dispositivo, pero sí dispone de permisos avanzados que le permiten instalar software adicional o modificar componentes sin que el propietario del móvil lo perciba.
En uno de los casos analizados, los especialistas encontraron el malware integrado en la aplicación encargada del desbloqueo facial. Este hecho resulta especialmente preocupante, ya que abre la puerta a un posible acceso ilícito a datos biométricos como patrones faciales, un tipo de información extremadamente sensible que, además, no es tan fácil de cambiar como una contraseña.
En otros dispositivos, Keenadu aparecía insertado en la aplicación de pantalla de inicio del sistema. Al estar presente en un componente tan central de la experiencia Android, el malware puede mantenerse activo de forma persistente y aprovechar cada arranque del dispositivo para ejecutar sus tareas, desde comunicarse con servidores remotos hasta descargar nuevos módulos maliciosos.
La técnica de camuflaje empleada se basa en que Keenadu imita componentes legítimos del sistema, utilizando nombres y estructuras que se asemejan a las de procesos habituales de Android. Esta estrategia complica su detección durante la fabricación y también por parte de usuarios avanzados que revisan manualmente las apps instaladas.
Según ha explicado Dmitry Kalinin, investigador de seguridad de Kaspersky, es probable que muchos fabricantes no fueran conscientes de la manipulación sufrida en la cadena de suministro. De ahí que la compañía insista en que es imprescindible revisar con detalle todas las fases del proceso de producción y establecer controles adicionales para garantizar que el firmware que llega a los consumidores no está comprometido.
Keenadu también se ha distribuido a través de Google Play
Los análisis no se limitan a las instalaciones de fábrica. Varios informes apuntan a que el malware también ha llegado a los usuarios a través de la tienda oficial Google Play. En este escenario, Keenadu se oculta en aplicaciones aparentemente legítimas, que superan los controles iniciales y se ofrecen al público sin levantar sospechas.
En uno de los conjuntos de muestras estudiadas, los ciberdelincuentes apostaron por apps de cámaras para el hogar inteligente. Entre las afectadas se encontraban aplicaciones como Ziicam, Eyeplus-Your home in your eyes o Eoolii, que acumulaban en conjunto más de 300.000 descargas antes de ser retiradas de la plataforma; se trata de aplicaciones maliciosas que aprovecharon la confianza del usuario.
Cuando el usuario ejecutaba estas herramientas, el malware abría pestañas invisibles de navegador dentro de la propia app, visitando sitios web de forma oculta. Este mecanismo permitía inflar estadísticas de visitas y clics en anuncios sin que el propietario del teléfono llegara a ver nada en pantalla, lo que encaja con el objetivo principal de Keenadu: el fraude publicitario masivo.
Aunque Google ha eliminado ya estas aplicaciones de su tienda, el caso vuelve a poner sobre la mesa los límites de los sistemas de revisión automatizada. También plantea la necesidad de que los usuarios presten más atención a los permisos solicitados por cada aplicación y al comportamiento posterior del dispositivo, incluso cuando las descargas proceden de repositorios oficiales.
Para quienes ya instalaron alguna de estas apps, los expertos recomiendan desinstalarlas de inmediato y realizar un análisis completo del dispositivo con una solución de seguridad fiable. En determinados casos, puede ser necesario incluso restaurar el terminal a los ajustes de fábrica, siempre y cuando exista la certeza de que la infección no está presente en el firmware. Para guiar estas acciones conviene consultar cómo eliminar malware en Android correctamente.
Impacto en España y en el resto de Europa
En el mapa global de infecciones, Europa ocupa un lugar destacado. Países como Alemania y Países Bajos aparecen entre los territorios con más dispositivos comprometidos, y España se sitúa también en el grupo de mayor riesgo, compartiendo protagonismo con naciones como Francia, Italia, Reino Unido y Turquía.
En el caso español, los analistas subrayan que la popularidad de Android y la amplia oferta de móviles de gama media y baja facilitan que este tipo de amenazas encuentre un nicho de expansión. Los modelos más económicos, en particular, pueden presentar controles de calidad más laxos en la cadena de suministro, lo que aumenta la probabilidad de que un firmware adulterado llegue al consumidor final.
Las autoridades y organismos dedicados a la ciberseguridad en Europa llevan tiempo advirtiendo sobre los riesgos asociados a dispositivos con software modificado o sin garantía clara de origen. El caso Keenadu encaja de lleno en estas preocupaciones, al evidenciar que ni siquiera los terminales recién salidos de la caja están necesariamente libres de amenazas.
Para las empresas y administraciones públicas, el problema va más allá de la privacidad personal. Un móvil corporativo con Keenadu podría convertirse en una puerta de entrada a redes internas, sistemas de correo, plataformas de pago o aplicaciones críticas, si el dispositivo se utiliza de forma habitual para tareas profesionales.
En este contexto, diversos expertos recomiendan a las organizaciones europeas establecer políticas claras de compra de dispositivos, priorizando proveedores con controles estrictos y certificaciones de seguridad, así como exigir un inventario detallado del firmware y las apps de sistema incluidas en cada terminal utilizado dentro de la empresa.
Cómo proteger tu móvil Android frente a Keenadu
Aunque el origen de Keenadu está en muchas ocasiones fuera del alcance directo del usuario, hay varias medidas que pueden reducir significativamente el riesgo. El primer paso pasa por ser selectivo con la compra de dispositivos, apostando por fabricantes y distribuidores con buena reputación y evitando, en la medida de lo posible, terminales de procedencia dudosa o excesivamente baratos sin una ficha técnica clara.
Los especialistas insisten también en la importancia de mantener el sistema operativo y las apps siempre actualizados. Muchas actualizaciones incluyen parches de seguridad que corrigen fallos aprovechados por este tipo de malware, por lo que dejar el dispositivo desactualizado puede abrir la puerta a infecciones o facilitar el trabajo de cualquier componente malicioso ya presente.
Otra recomendación clave es instalar una solución de seguridad móvil de confianza y realizar análisis periódicos, incluyendo, cuando sea posible, la revisión del firmware. Estas herramientas pueden detectar comportamientos sospechosos, identificar apps de sistema comprometidas y proponer acciones concretas para mitigar el daño.
En caso de sospecha, los expertos aconsejan revisar las aplicaciones preinstaladas y desactivar aquellas que parezcan innecesarias o cuyo comportamiento resulte extraño (consumo excesivo de batería, tráfico de datos inusual, presencia constante en segundo plano). Si una app crítica del sistema aparece marcada como maliciosa, lo más prudente es dejar de usarla y, cuando la opción exista, inhabilitarla.
Finalmente, es recomendable evitar la instalación de aplicaciones desde fuentes desconocidas siempre que no sea estrictamente necesario, y revisar con calma los permisos solicitados por cada app. Aunque Keenadu ha demostrado que incluso las tiendas oficiales pueden ser vulnerables, reducir la exposición a repositorios alternativos minimiza la superficie de ataque.
El caso Keenadu pone de relieve hasta qué punto los móviles Android pueden estar comprometidos desde el primer encendido, sin que el usuario pulse un solo botón ni instale ninguna aplicación por su cuenta. La combinación de malware preinstalado, fraude publicitario masivo y capacidad de control remoto convierte esta amenaza en un recordatorio claro de la necesidad de reforzar la seguridad en toda la cadena, desde la fábrica hasta el bolsillo del usuario, con especial atención en mercados como España y el conjunto de Europa, donde el impacto ya es más que evidente.
