ENCUENTRAN "KEENADU", UNA COMPLEJA PUERTA TRASERA QUE INFECTA EL FIRMWARE DE TABLETAS ANDROID
La firma de ciberseguridad Kaspersky ha revelado el descubrimiento de una sofisticada amenaza denominada "Keenadu", un backdoor (puerta trasera) de nueva generación integrado profundamente en el firmware de diversas tabletas Android. Según los investigadores, el malware se inyecta durante la fase de construcción del sistema operativo, permitiendo a los atacantes un control total y remoto de los dispositivos afectados.
Infección desde la raíz
A diferencia de los virus convencionales que se instalan como aplicaciones, Keenadu reside en la biblioteca crítica libandroid_runtime[.]so. Al estar incrustado en el núcleo del sistema, el malware se carga en la memoria de cada aplicación que el usuario abre, rompiendo el esquema de seguridad de "sandbox" (aislamiento) de Android.
La investigación de Kaspersky destaca que el compromiso ocurre en la cadena de suministro. Se han detectado versiones infectadas en dispositivos de marcas como Alldocube (específicamente en el modelo iPlay 50 mini Pro) desde agosto de 2023. Lo más alarmante es que estos archivos de firmware cuentan con firmas digitales válidas, lo que facilita su distribución a través de actualizaciones oficiales vía OTA (Over-The-Air).
Alcance y capacidades delictivas
El análisis técnico, liderado por el investigador de seguridad Dmitry Kalinin, detalla que Keenadu utiliza una arquitectura cliente-servidor interna. El componente principal se infiltra en el proceso system_server, el cual posee los máximos privilegios del sistema.
Entre las capacidades confirmadas del malware se encuentran:
Fraude publicitario: Interacción sigilosa con anuncios y monetización de instalaciones de apps.
Secuestro de búsquedas: Modificación de los resultados en Google Chrome para redirigir el tráfico.
Manipulación de e-commerce: Inyección de productos en carritos de compras de plataformas como Amazon, Shein y Temu sin consentimiento del usuario.
Exfiltración de datos: Robo de metadatos del dispositivo y geolocalización en tiempo real.
Hasta la fecha, la telemetría de Kaspersky ha identificado a más de 13,700 usuarios afectados en todo el mundo, con una mayor incidencia en Rusia, Japón, Alemania, Brasil y los Países Bajos.
Distribución mediante aplicaciones en Google Play
Además del firmware infectado, se descubrió que Keenadu se propagó a través de aplicaciones de cámaras inteligentes en la tienda oficial Google Play. Aplicaciones como Eoolii, Ziicam y Eyeplus, desarrolladas por la empresa Hangzhou Denghong Technology, acumulaban más de 300,000 descargas antes de ser retiradas. Los expertos advierten que estas mismas apps siguen disponibles en la App Store de Apple, aunque no se ha confirmado si la variante de iOS también es maliciosa.
Veredicto de los expertos
"Los creadores de Keenadu poseen un conocimiento profundo de la arquitectura de Android", concluyó Kaspersky en su informe. Aunque actualmente el malware se utiliza principalmente para el fraude publicitario, los especialistas no descartan que la plataforma evolucione hacia el robo de credenciales bancarias y espionaje masivo, siguiendo los pasos de botnets previas como Triada y Badbox.
Se recomienda a los usuarios de tabletas de marcas menos conocidas verificar la integridad de sus actualizaciones y evitar la instalación de aplicaciones de fabricantes desconocidos, incluso si provienen de tiendas oficiales.