Um malware sofisticado para Android, chamado Keenadu, foi recentemente descoberto embutido no firmware de dispositivos de diversas marcas.
Essa ameaça permite o comprometimento de todos os aplicativos instalados, garantindo controle total sobre os aparelhos infectados.
Segundo relatório da empresa de cibersegurança Kaspersky, o Keenadu possui múltiplos vetores de distribuição, como imagens de firmware comprometidas entregues via OTA (over-the-air), backdoors adicionais, apps de sistema infectados, aplicativos modificados de fontes não oficiais e até mesmo alguns disponíveis na Google Play.
Existem diversas variantes do Keenadu, cada uma com recursos específicos, sendo a versão integrada ao firmware a mais poderosa.
Até fevereiro de 2026, a Kaspersky confirmou cerca de 13 mil dispositivos infectados, com maior concentração na Rússia, Japão, Alemanha, Brasil e Holanda.
Os pesquisadores comparam o Keenadu ao Triada, outra família de malware para Android que identificaram em aparelhos falsificados, principalmente smartphones baratos que circulam por canais de suprimento pouco confiáveis.
Na variante integrada ao firmware, o malware não se ativa se o idioma ou o fuso horário estiver vinculado à China, o que pode indicar sua origem.
Além disso, ele interrompe suas operações caso a Google Play Store ou os serviços do Google não estejam presentes no dispositivo.
Embora os operadores do malware estejam atualmente focados em fraudes com anúncios, a Kaspersky alerta que suas capacidades vão além, incluindo roubo amplo de dados e execução de ações de alto risco no aparelho comprometido.
“Keenadu é um backdoor totalmente funcional que confere aos atacantes controle irrestrito sobre o dispositivo da vítima”, afirmou a Kaspersky ao BleepingComputer.
“Ele pode infectar todos os aplicativos instalados, instalar qualquer app a partir de arquivos APK e conceder permissões ilimitadas a esses aplicativos.”
“Com isso, todas as informações no dispositivo — como mídias, mensagens, credenciais bancárias e localização — podem ser comprometidas.
O malware ainda monitora buscas feitas pelo usuário no navegador Chrome, mesmo no modo incógnito”, completaram os pesquisadores.
A variante inserida em aplicativos de sistema apresenta funcionalidade mais limitada.
Entretanto, como possui privilégios elevados, é capaz de instalar qualquer app sem alertar o usuário.
A Kaspersky identificou o malware em um app de reconhecimento facial, usado para desbloqueio e autenticação, além de apps de câmeras para smart homes disponíveis na Google Play com cerca de 300 mil downloads, que já foram removidos da loja oficial.
Ao serem abertos, esses apps lançavam abas invisíveis do navegador dentro do próprio aplicativo, acessando sites em segundo plano — comportamento semelhante ao detectado em APKs identificados pelo Dr.Web no começo deste ano.
Os pesquisadores também encontraram o Keenadu no firmware de tablets Android de diferentes fabricantes.
Em um deles, o Alldocube iPlay 50 mini Pro (modelo T811M), o firmware malicioso é datado de 18 de agosto de 2023.
Após um cliente relatar, em março de 2024, que o servidor OTA da Alldocube havia sido comprometido para inserir malware no firmware, a fabricante confirmou um “ataque viral via software OTA”, mas não divulgou detalhes sobre o tipo de ameaça envolvida.
A Kaspersky publicou uma análise técnica detalhada do backdoor Keenadu, explicando como o malware compromete o componente libandroid_runtime.so — uma biblioteca central do sistema Android — permitindo que ele atue “dentro do contexto de todos os apps do dispositivo”.
Os especialistas alertam que, por estar profundamente enraizado no firmware, o malware não pode ser removido por ferramentas padrão do Android.
A recomendação é buscar e instalar uma versão limpa do firmware para o aparelho.
Outra alternativa é instalar um firmware confiável de terceiros, embora essa medida traga o risco de “brickar” o dispositivo em caso de incompatibilidade.
A opção mais segura, segundo os especialistas, é interromper o uso do aparelho infectado e substituí-lo por um produto de fornecedores confiáveis e distribuidores autorizados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...