Dispositivos Android con malware a nivel de firmware

A finales de febrero de 2026, los analistas de SophosLabs identificaron múltiples detecciones en dispositivos Android de actividad maliciosa asociada con la puerta trasera Keenadu. Según Kaspersky, Keenadu es una infección de firmware incrustada en libandroid_runtime.so (biblioteca de objetos compartidos) que se inyecta en el proceso Zygote. Como Zygote es el proceso principal de todas las apps de Android, un atacante consigue, en la práctica, el control total sobre un dispositivo infectado. Keenadu actúa como un descargador de módulos de malware de segunda fase que pueden usarse para atacar los datos de varias aplicaciones. Todas las apps de Android dependen de libandroid_runtime.so para funcionar, así que el sistema copia una instancia de Keenadu en el espacio de direcciones de cada app instalada en un dispositivo infectado.

El código de Keenadu reside en una biblioteca estática (libVndxUtils.a) del dispositivo infectado y se apoya en una dependencia maliciosa que se hace pasar por código legítimo de MediaTek. Basándose en los indicios asociados al despliegue de Keenadu, Kaspersky concluyó que los atacantes lo «integraron en el firmware durante la fase de compilación» en un ataque a la cadena de suministro, en lugar de instalarlo posteriormente a través de un servidor OTA (over-the-air) comprometido.

Las aplicaciones a las que apunta el malware dependen de los módulos que el atacante elija descargar. Algunos ejemplos son tiendas online como Shein, Temu y Amazon. Los módulos «clicker» apuntan a YouTube, Facebook y la aplicación Bienestar digital, y cometen fraude publicitario conectándose silenciosamente a sitios web en segundo plano para generar ingresos por pago por clic. Otro módulo «clicker» está integrado en el lanzador del sistema (com.android.launcher3) y parece diseñado para monetizar cada instalación. Un módulo ataca al navegador Google Chrome.

Los dispositivos infectados que Sophos detectó presentaban sistemáticamente dos archivos APK a nivel del sistema: PriLauncher.apk y PriLauncher3QuickStep.apk. Estos archivos se encontraban en directorios a nivel del sistema (por ejemplo, /system/system_ext/priv-app/PriLauncher3QuickStep/PriLauncher3QuickStep.apk). QuickStep es el lanzador predeterminado del sistema Android y un componente fundamental del Proyecto de Código Abierto de Android (AOSP). La detección de estos archivos APK como maliciosos sugiere que alguien troyanizó estos componentes para ejecutar Keenadu en determinados dispositivos. El agente de endpoint Sophos Intercept-X para Android no bloquea las versiones legítimas de QuickStep.

A fecha de 4 de marzo, la telemetría de Sophos X-Intercept registraba más de 500 dispositivos Android comprometidos únicos en casi 50 modelos. La mayoría de los dispositivos eran modelos de bajo coste que los siguientes fabricantes produjeron: Allview, BLU, Dcode, DOOGEE, Gigaset, Gionee, Lava y Ulefone. La lista no incluía dispositivos Alldocube, a pesar de que, según se informa, Kaspersky observó que Keenadu también afectaba a ese fabricante. Las infecciones identificadas se extendieron por todo el mundo, con dispositivos ubicados en 40 países.

Las organizaciones que permiten a los usuarios acceder a los recursos corporativos desde dispositivos personales corren un riesgo elevado. Aunque la exfiltración de datos se produce desde el propio dispositivo, los actores maliciosos podrían acceder a una red corporativa a través de credenciales expuestas almacenadas en aplicaciones del dispositivo infectado.

Los analistas de SophosLabs recomiendan seguir los pasos descritos en el artículo técnico KBA-000047016. Los usuarios de Android deben instalar el firmware actualizado si el fabricante lo publica. Hasta que se haya actualizado el firmware, las organizaciones deberían considerar restringir el acceso a la red corporativa a los modelos afectados.

La siguiente protección de Sophos está relacionada con esta amenaza:

• Andr/Bckdr-SBS

Los indicadores de amenaza de la Tabla 1 se pueden usar para detectar actividad relacionada con esta amenaza. Ten en cuenta que los proveedores pueden reasignar las direcciones IP. Los dominios y las direcciones IP pueden contener contenido malicioso, así que valora los riesgos antes de abrirlos en un navegador.

Tabla 1: indicadores de esta amenaza