Una advertencia de seguridad ha sido emitida sobre Keenadu, una nueva variante de software malicioso hallada en dispositivos Android. Según los expertos en protección digital, esta amenaza es particularmente preocupante porque puede venir integrada directamente en el firmware del equipo, en herramientas del sistema o distribuirse a través de plataformas oficiales como Google Play. Actualmente, se ha identificado que España se posiciona como una de las naciones con mayor incidencia de detecciones de este problema.
El objetivo principal de los atacantes tras Keenadu es el fraude publicitario, transformando los teléfonos y tablets en bots encargados de generar clics falsos en anuncios de manera automática. No obstante, el peligro no termina ahí; se ha comprobado que en ciertas variantes identificadas, la amenaza permite a los ciberdelincuentes obtener el control total del dispositivo de la víctima, incrementando exponencialmente los riesgos para la privacidad.
Esta información ha sido revelada por la firma de ciberseguridad Kaspersky. A través de sus diversas soluciones de protección móvil, la compañía logró contabilizar más de 13.000 dispositivos infectados con Keenadu en todo el mundo hasta el mes de febrero de 2026.
En cuanto a la distribución geográfica, los países con el mayor volumen de usuarios afectados incluyen a Rusia, Japón, Alemania, Brasil y Países Bajos. Sin embargo, España también figura dentro del listado de los diez países con más detecciones de esta amenaza, compartiendo esta posición con naciones como Turquía, Reino Unido, Francia e Italia.
Expertos del sector comparan esta situación con el troyano Triada, el cual fue identificado en el año 2025 en más de 2.600 smartphones Android falsificados. En el caso específico de Keenadu, se ha determinado que el malware se ha insertado en el software base de determinados modelos de tablets en «alguna fase de la cadena de suministro».
Esta variante específica funciona como una puerta trasera o backdoor, otorgando a los criminales digitales una capacidad de gestión ilimitada sobre el terminal. Esto permite que Keenadu infecte cualquier aplicación instalada, ejecute la instalación de nuevas herramientas mediante archivos APK externos y modifique la configuración de seguridad para autoconcederse todos los permisos del sistema.
Como consecuencia de estas acciones, la integridad de la información almacenada en el equipo corre un grave peligro. Los atacantes pueden acceder a mensajes, archivos multimedia, coordenadas de localización y credenciales bancarias. Incluso se ha advertido que los responsables del malware tienen la capacidad de rastrear las búsquedas que el usuario realiza en el navegador Chrome utilizando el modo incógnito.
Un aspecto particular de su funcionamiento es que su actividad depende de ciertos parámetros de configuración. Por ejemplo, la compañía de seguridad aseguró que el código malicioso no se activará si el idioma del equipo está configurado en dialectos chinos o si la zona horaria corresponde a China. Del mismo modo, el malware no se ejecutará en dispositivos que carezcan de Google Play Store o de los servicios de Google Play Services.
Métodos de infiltración: apps de sistema y tiendas oficiales
Más allá de su presencia en el firmware, los especialistas detallaron que la amenaza se propaga camuflada en aplicaciones del sistema o mediante descargas directas en Google Play. Aunque en la modalidad integrada en apps de sistema su alcance es un poco más restringido, sigue poseyendo privilegios elevados que le permiten instalar software adicional sin que el usuario lo note.
Se documentó un caso crítico donde Keenadu estaba insertado en el proceso de desbloqueo facial del dispositivo, lo que habría permitido el robo de datos biométricos de los usuarios. Otros hallazgos vinculan el código malicioso con la aplicación encargada de gestionar la pantalla de inicio del sistema operativo.
En lo que respecta a la tienda oficial Google Play, se detectó que aplicaciones de cámaras para el hogar inteligente servían de transporte para el malware. Entre las apps infectadas se encontraban Ziicam, Eyeplus-Your home in your eyes y Eoolii, las cuales sumaban más de 300.000 descargas antes de ser retiradas. Al ejecutarse, estas herramientas abrían pestañas de navegación invisibles para visitar sitios web de forma oculta.
Según Dmitry Kalinin, investigador de seguridad en Kaspersky, este hallazgo subraya que las amenazas preinstaladas son un desafío vigente, pues el terminal puede estar comprometido
«desde el primer momento»
y
«sin que el usuario realice ninguna acción»
para que esto ocurra.
Kalinin también señaló que:
«Es probable que los fabricantes no fueran conscientes de la manipulación en la cadena de suministro que permitió a Keenadu infiltrarse en los dispositivos, ya que el malware imitaba componentes legítimos del sistema»
. Por ello, enfatizó que resulta
«esencial revisar todas las fases del proceso de producción para garantizar que el firmware no esté infectado»
.
Para mitigar riesgos, se recomienda a los usuarios emplear una solución de seguridad confiable, verificar constantemente las actualizaciones del sistema y realizar escaneos profundos del firmware. En caso de detectar que una aplicación de sistema está comprometida, se aconseja dejar de utilizarla y proceder a su desactivación inmediata.
Fuente: Fuente