Malware Keenadu atinge 13 mil dispositivos Android por meio de firmware

Malware Keenadu Infecta Dispositivos Android em Vários Países

O malware Keenadu, uma ameaça cibernética sofisticada, infectou 13.715 dispositivos Android em cinco países, incluindo o Brasil. Identificado pela Kaspersky, o malware foi embutido no sistema operacional de tablets e smartphones de diversos fabricantes desde agosto de 2023, permitindo controle total dos aparelhos e contornando os mecanismos de segurança do Android.

A descoberta do Keenadu em fevereiro de 2026 gerou preocupações no setor de cibersegurança. O ataque à cadeia de suprimentos comprometeu o firmware durante a fabricação, afetando dispositivos em países como Rússia, Japão, Alemanha e Países Baixos, além do Brasil.

Como o Malware se Infiltra nos Dispositivos

O Keenadu se destaca por atuar em um nível profundo do sistema operacional. Diferente de aplicativos maliciosos comuns, ele é integrado diretamente na biblioteca libandroid_runtime.so durante a construção do firmware, permitindo que se injete no processo Zygote, que inicia todos os aplicativos Android.

A Kaspersky encontrou firmware comprometido em um tablet Alldocube iPlay 50 mini Pro, datado de 18 de agosto de 2023, evidenciando que dispositivos infectados estão no mercado há mais de dois anos. O malware contorna o sistema de sandboxing do Android, que deveria isolar aplicativos e proteger dados sensíveis.

Além da variante no firmware, o Keenadu também foi distribuído por meio de aplicativos de câmeras inteligentes na Google Play, que acumularam mais de 300 mil downloads antes de serem removidos. Essa combinação de infecção amplia significativamente o alcance da ameaça.

Capacidades Técnicas e Vetores de Ataque

O Keenadu possui uma arquitetura modular que compromete todos os aplicativos instalados no dispositivo. Atualmente, é utilizado principalmente para fraudes publicitárias, gerando cliques e visualizações falsas que drenam bilhões do ecossistema de publicidade digital.

As capacidades do malware vão além, permitindo a interceptação de credenciais bancárias, captura de senhas, rastreamento geográfico em tempo real e monitoramento do histórico de navegação, transformando dispositivos infectados em ferramentas de espionagem.

Curiosamente, o malware não se ativa se o idioma do dispositivo estiver configurado para dialetos chineses ou se o fuso horário for correspondente à China, sugerindo que os operadores evitam alvos nesse território para escapar de investigações.

Conexões com Botnets Globais

A investigação da Kaspersky revelou conexões alarmantes entre o Keenadu e outras operações criminosas. O backdoor compartilha semelhanças técnicas com as famílias Triada, BADBOX e Vo1d, que infectaram milhões de dispositivos Android globalmente.

Essa interconexão sugere que grupos criminosos coordenam ataques em larga escala. A sofisticação necessária para comprometer a cadeia de suprimentos de múltiplos fabricantes indica recursos significativos e um profundo conhecimento dos processos de manufatura eletrônica.

Para mercados emergentes que dependem de dispositivos Android de baixo custo, o impacto é devastador, pois esses aparelhos frequentemente vêm de fabricantes menores com processos de segurança menos rigorosos, tornando-os alvos ideais para esse tipo de ataque.

Implicações para Segurança Corporativa

Gestores de TI enfrentam um desafio sem precedentes com o Keenadu. Dispositivos pessoais infectados que acessam redes corporativas via políticas BYOD (Bring Your Own Device) se tornam portas de entrada para ambientes empresariais. O malware pode interceptar credenciais de acesso VPN e comprometer sistemas críticos.

A capacidade de contornar o sandboxing do Android limita a eficácia das soluções tradicionais de segurança móvel. Antivírus convencionais não conseguem detectar ameaças embutidas no firmware, pois operam em camadas superiores do sistema operacional.

Organizações precisam urgentemente reavaliar suas políticas de dispositivos móveis, implementando listas brancas de fabricantes confiáveis e monitorando comportamentos anômalos de rede. Dispositivos de fabricantes desconhecidos ou com preços muito baixos devem ser considerados riscos de segurança.

Resposta do Ecossistema Android

A descoberta do Keenadu exige uma reavaliação dos processos de certificação do Android. Embora o Google tenha removido os aplicativos maliciosos da Play Store, dispositivos com firmware comprometido ainda estão em circulação. Não há atualizações de segurança que possam remover malware embutido no firmware sem uma reinstalação completa do sistema.

A Kaspersky recomenda que os usuários verifiquem a procedência de seus dispositivos e evitem marcas desconhecidas. Para ambientes corporativos, a implementação de Mobile Device Management (MDM) com capacidades de detecção comportamental é crítica.

Especialistas alertam que o caso Keenadu é apenas a ponta do iceberg, e a cadeia de suprimentos de eletrônicos globais continua vulnerável, com a possibilidade de ataques semelhantes surgirem enquanto os processos de fabricação não incorporarem verificações de integridade mais robustas.

Proteção e Mitigação de Riscos

Organizações devem adotar estratégias multicamadas para mitigar os riscos associados ao Keenadu. A segmentação de rede pode impedir que dispositivos comprometidos acessem sistemas críticos, enquanto a autenticação multifator adiciona camadas extras de proteção, mesmo que credenciais sejam interceptadas.

O monitoramento contínuo do tráfego de rede é essencial para identificar padrões suspeitos associados a fraudes publicitárias ou exfiltração de dados. Dispositivos que geram volumes anormais de requisições HTTP ou se conectam a domínios suspeitos devem ser isolados para análise forense.

A educação dos usuários é fundamental, pois colaboradores precisam entender que dispositivos pessoais representam vetores de ataque significativos. Políticas claras sobre quais aparelhos podem acessar recursos corporativos ajudam a proteger a organização sem comprometer a produtividade das equipes.

Fonte por: Its Show