Puerta trasera de Keenadu

Se ha identificado una sofisticada puerta trasera de Android, conocida como Keenadu, integrada en el firmware del dispositivo, lo que permite la recolección silenciosa de datos y el control remoto de los sistemas infectados. Investigadores de seguridad descubrieron la amenaza en el firmware vinculado a varios proveedores, incluyendo Alldocube, con evidencia que demuestra que la vulnerabilidad se produjo durante la fase de compilación del firmware. Keenadu ha estado presente en el firmware del Alldocube iPlay 50 mini Pro desde al menos el 18 de agosto de 2023.

En todos los casos confirmados, el código malicioso residía en imágenes de firmware de tabletas con firmas digitales válidas, lo que reforzaba la probabilidad de una vulneración de la cadena de suministro. Algunos paquetes de firmware infectados se distribuyeron mediante actualizaciones inalámbricas (OTA). Una vez instalada, la puerta trasera se inyecta en la memoria de cada aplicación al iniciarse, operando como un cargador multietapa que otorga a los atacantes control remoto sin restricciones sobre el dispositivo.

La telemetría indica que 13.715 usuarios en todo el mundo han detectado Keenadu o sus módulos asociados. La mayor concentración de infecciones se ha observado en Rusia, Japón, Alemania, Brasil y los Países Bajos.

Manipulación profunda del sistema: Explotación de los procesos centrales de Android

Keenadu se divulgó públicamente a finales de diciembre de 2025 y se describió como una puerta trasera implantada en libandroid_runtime.so, una biblioteca compartida crítica que se carga durante el arranque de Android. Una vez activo, el malware se inyecta en el proceso Zygote, un comportamiento observado previamente en el malware para Android Triada.

La rutina maliciosa se activa mediante una función insertada en libandroid_runtime.so. Primero verifica si se está ejecutando dentro de aplicaciones del sistema asociadas con servicios de Google o operadores móviles como Sprint y T-Mobile; de ser así, se detiene la ejecución. Un interruptor de seguridad integrado también elimina el malware cuando se detectan nombres de archivo específicos en los directorios del sistema.

La puerta trasera comprueba si opera dentro del proceso privilegiado system_server, que controla las funciones principales del sistema y es ejecutado por Zygote durante el arranque. Según el entorno, el malware inicializa uno de dos componentes:

• AKServer, que contiene el motor de ejecución y lógica de comando y control (C2) central
• AKClient, que se inyecta en cada aplicación iniciada y actúa como un puente de comunicación con AKServer

Esta arquitectura permite a los atacantes adaptar cargas maliciosas a aplicaciones específicas. El componente de servidor puede otorgar o revocar permisos de aplicaciones, recuperar datos de geolocalización y extraer información del dispositivo. Medidas de seguridad adicionales garantizan la eliminación del malware si el idioma del dispositivo está configurado en chino dentro de una zona horaria china, o si no se encuentran disponibles Google Play Store ni los Servicios de Google Play.

Al cumplir los criterios operativos, Keenadu descifra su dirección C2 y transmite metadatos cifrados del dispositivo. El servidor responde con una configuración JSON cifrada que detalla las cargas útiles disponibles. Para evitar la detección y dificultar el análisis, la puerta trasera retrasa la entrega de la carga útil durante aproximadamente dos meses y medio tras el registro inicial del dispositivo. Los atacantes utilizan Alibaba Cloud como infraestructura de distribución de contenido.

Módulos maliciosos: monetización, secuestro y fraude publicitario

Keenadu funciona como una plataforma modular de malware capaz de implementar diversos componentes especializados. Los módulos identificados incluyen los siguientes:

• Keenadu Loader apunta a plataformas de comercio electrónico populares como Amazon, Shein y Temu, lo que potencialmente permite la manipulación no autorizada del carrito.
• Clicker Loader se inyecta en aplicaciones como YouTube, Facebook, Google Digital Wellbeing y el launcher del sistema Android para interactuar de forma fraudulenta con elementos publicitarios.
• Módulo de Google Chrome dirigido a Google Chrome para secuestrar consultas de búsqueda y redirigirlas a motores de búsqueda alternativos, aunque las selecciones de autocompletar a veces pueden interrumpir el intento de secuestro.
• Nova Clicker, integrado en el selector de fondos de pantalla del sistema, aprovecha el aprendizaje automático y WebRTC para interactuar con el contenido publicitario. Este componente fue analizado previamente por Doctor Web bajo el nombre clave Phantom.
• Instalar el módulo de monetización, integrado en el iniciador del sistema para generar ingresos publicitarios fraudulentos mediante la atribución incorrecta de instalaciones de aplicaciones.
• Módulo de Google Play, que recupera el ID de publicidad de Google Ads y lo almacena bajo la clave 'S_GA_ID3' para el seguimiento entre módulos y la identificación de víctimas.

Si bien el enfoque operativo actual se centra en el fraude publicitario, la flexibilidad del marco presenta un potencial significativo para el robo de credenciales y operaciones maliciosas ampliadas en el futuro.

Ampliación de los canales de distribución y los vínculos con los ecosistemas

Además de la implantación a nivel de firmware, se han observado vectores de distribución adicionales. El cargador Keenadu se ha integrado en aplicaciones centrales del sistema, como servicios de reconocimiento facial y lanzadores. Anteriormente, se habían asociado tácticas similares con Dwphon, que atacaban los mecanismos de actualización OTA.

Otro método observado implica operar dentro de sistemas ya comprometidos por una puerta trasera preinstalada, similar a BADBOX. También se han identificado solapamientos de infraestructura entre Triada y BADBOX, lo que sugiere una colaboración entre botnets. En marzo de 2025, surgieron nuevas conexiones entre BADBOX y Vo1d, que atacaban dispositivos Android TV de otras marcas.

Keenadu también se ha distribuido a través de aplicaciones de cámara inteligente troyanizadas publicadas en Google Play por Hangzhou Denghong Technology Co., Ltd. Las aplicaciones afectadas incluyeron:

• Eoolii (com.taismart.global): más de 100.000 descargas
• Ziicam (com.ziicam.aws): más de 100.000 descargas
• Eyeplus – Tu hogar en tus ojos (com.closeli.eyeplus) – más de 100.000 descargas

Estas aplicaciones ya se han eliminado de Google Play. También se publicaron versiones equivalentes en la App Store de Apple; sin embargo, las variantes de iOS no contenían código malicioso, lo que refuerza la conclusión de que Keenadu está diseñado específicamente para tabletas Android.

Implicaciones de seguridad: una amenaza para el modelo de confianza central de Android

Keenadu representa una grave amenaza debido a su integración en libandroid_runtime.so, lo que le permite operar en el contexto de cada aplicación. Esto socava eficazmente el modelo de sandbox de Android y proporciona acceso oculto a todos los datos del dispositivo.

Su capacidad para eludir los controles de permisos estándar transforma el malware en una puerta trasera completa con autoridad ilimitada a nivel de sistema. La sofisticación de la implementación demuestra una amplia experiencia en arquitectura Android, gestión del ciclo de vida de las aplicaciones y mecanismos de seguridad esenciales.

Keenadu destaca como una plataforma de malware a gran escala y altamente compleja, capaz de ofrecer un control persistente y adaptable sobre los dispositivos comprometidos. Aunque actualmente se utiliza principalmente para el fraude publicitario, la profundidad de su arquitectura sugiere un riesgo creíble de escalada hacia el robo de credenciales y operaciones cibercriminales más amplias.