Kaspersky ha individuato un nuovo malware Android denominato Keenadu, caratterizzato da una distribuzione su più livelli e dalla capacità, in alcune varianti, di ottenere il controllo completo del dispositivo. Il malware può essere preinstallato nel firmware, integrato in applicazioni di sistema oppure distribuito tramite app disponibili anche su Google Play. Attualmente Keenadu viene utilizzato principalmente per frodi pubblicitarie, ma la struttura tecnica consente impieghi più invasivi. A febbraio 2026, le soluzioni di mobile security di Kaspersky hanno rilevato oltre 13.000 dispositivi infetti. I Paesi più colpiti risultano Russia, Giappone, Germania, Brasile e Paesi Bassi, con casi segnalati anche in Italia.
Malware integrato nel firmware
In alcune varianti Keenadu viene inserito nel firmware durante una fase della supply chain. In questo scenario il malware opera come una backdoor a pieno titolo, con capacità di controllo esteso sul dispositivo. Può infettare applicazioni presenti sul device, installare file APK arbitrari e concedere autorizzazioni elevate. I dati potenzialmente esposti comprendono file multimediali, messaggi, credenziali bancarie, posizione geografica e altre informazioni sensibili. È inoltre in grado di monitorare le ricerche effettuate nel browser Chrome anche in modalità in incognito. Il comportamento del malware varia in base ad alcuni parametri. Non si attiva se la lingua del dispositivo è impostata su un dialetto cinese e il fuso orario corrisponde a uno della Cina. Non si avvia inoltre in assenza di Google Play Store e Google Play Services.
Malware integrato nelle app di sistema
Un’altra variante prevede l’integrazione in applicazioni di sistema. In questo caso le funzionalità risultano più limitate rispetto alla versione firmware, ma il malware mantiene privilegi elevati. Può installare applicazioni secondarie senza notifica all’utente. Kaspersky ha individuato casi in cui Keenadu era incorporato in un’app dedicata allo sblocco tramite riconoscimento facciale, con potenziale accesso ai dati biometrici, e in applicazioni responsabili della schermata iniziale del dispositivo.
App infette distribuite tramite store
Gli analisti hanno inoltre rilevato applicazioni infette distribuite su Google Play, in particolare app dedicate alla gestione di telecamere domestiche intelligenti, scaricate oltre 300.000 volte prima della rimozione. All’avvio, tali app consentivano agli aggressori di aprire schede web invisibili e navigare su siti terzi senza che l’utente ne fosse consapevole. Studi precedenti nel settore hanno evidenziato modalità simili di distribuzione anche tramite file APK autonomi o store alternativi.
Un rischio legato alla catena di approvvigionamento
Secondo Dmitry Kalinin, Security Researcher di Kaspersky, il malware preinstallato rappresenta una criticità rilevante perché il dispositivo può risultare compromesso fin dall’acquisto, senza alcuna azione da parte dell’utente. In molti casi i fornitori potrebbero non essere stati consapevoli della compromissione della catena produttiva, poiché Keenadu imitava componenti di sistema legittimi. La presenza di codice malevolo nel firmware impone un controllo rigoroso delle fasi di produzione e distribuzione per evitare che componenti infetti raggiungano il mercato.
Raccomandazioni di sicurezza
Kaspersky suggerisce l’adozione di una soluzione di sicurezza affidabile in grado di rilevare minacce mobile avanzate. È opportuno verificare la disponibilità di aggiornamenti firmware e, dopo l’installazione, eseguire una scansione completa del dispositivo. Nel caso in cui un’app di sistema risulti compromessa, è consigliabile interromperne l’utilizzo e disabilitarla. Se l’app coinvolta è quella di avvio, è possibile rimuovere l’avvio predefinito e utilizzare un launcher di terze parti.
