Um novo malware para Android está sendo embutido no firmware, software essencial gravado diretamente no hardware de dispositivos, de várias marcas de dispositivos. O Keenadu, como foi apelidado, permite o comprometimento de todos os aplicativos instalados e controle total sobre os aparelhos infectados. O Brasil é um dos países mais afetados pela campanha.
O que é o Keenadu?
De acordo com o relatório da empresa de cibersegurança Kaspersky, o Keenadu possui vários mecanismos de distribuição, incluindo imagens de firmware comprometidas entregues via atualização OTA (over-the-air), que acontecem via internet.
smart_display
Nossos vídeos em destaque
O malware também chega aos dispositivos por meio de outras portas dos fundos, acessos maliciosos que contornam medidas de segurança para obter acesso remoto de alto nível a sistemas, embutido em aplicativos do sistema, em apps modificados de fontes não oficiais e até mesmo por meio de aplicativos disponíveis na Google Play, afirma a empresa de segurança.
Segundo a investigação, existem múltiplas variantes do Keenadu, cada uma com suas próprias características e habilidades, sendo a mais potente a versão baseada em firmware. Até fevereiro de 2026, a Kaspersky confirmou 13 mil dispositivos infectados, muitos localizados na Rússia, Japão, Alemanha, Brasil e Países Baixos.
Os pesquisadores de segurança comparam o Keenadu ao Triada, uma família de malware Android identificada em dispositivos Android falsificados, principalmente celulares de baixo custo que passam por cadeias de suprimento suspeitas no ano passado.
Chineses passam ilesos
Em sua variante integrada ao firmware, o Keenadu não é ativado se o idioma ou fuso horário estiver associado à China. O malware também para de funcionar se a Play Store e os Serviços do Google Play não forem encontrados no dispositivo.
Embora atualmente a campanha seja focada em fraudes com anúncios, a Kaspersky observa que as capacidades do malware incluem roubo de dados e execução de ações arriscadas no dispositivo comprometido.
Nenhuma informação está segura
A Kaspersky afirma que o malware é um backdoor capaz de fornecer controle total do dispositivo da vítima, capaz de infectar todos os aplicativos instalados no aparelho, instalar apps ligados à operação a partir de arquivos APK, formato padrão utilizado pelo sistema Android para distribuir e instalar aplicativos, e conceder todas as permissões disponíveis aos criminosos.
Isso significa que todas as informações do dispositivo, incluindo fotos, mensagens, logins e senhas de bancos, localização e dados sensíveis estão comprometidos. A investigação também apurou que o malware é capaz de monitorar buscas dos usuários no navegador Chrome, até mesmo no modo anônimo.
A variante do Keenadu incorporada em aplicativos do sistema é mais limitada em funcionalidade. No entanto, seus privilégios elevados permitem instalar qualquer aplicativo sem alertar o usuário.
Os pesquisadores encontraram o malware embutido em um aplicativo de sistema para reconhecimento facial, normalmente usado para desbloquear o dispositivo e realizar ações de autorização e autenticação.
Apps da Play Store eram porta de entrada
Eles também encontraram o malware na Google Play Store, em aplicativos de câmeras domésticas inteligentes que tinham 300 mil downloads, e que já não estão mais disponíveis na loja oficial. Quando abertos, esses apps iniciavam abas invisíveis de navegador dentro do aplicativo, que navegavam para sites em segundo plano.
Segundo os pesquisadores, o Keenadu está presente no firmware de tablets Android de múltiplos fabricantes. Em um dos produtos, o tablet Alldocube iPlay 50 mini Pro, o firmware malicioso estava datado de 18 de agosto de 2023.
Em março de 2024, outro cliente afirmou que o servidor OTA da Alldocube havia sido comprometido e que criminosos inseriram malware no firmware, a empresa reconheceu o ataque mas não forneceu informações sobre o tipo de ameaça.
Biblioteca central do Android virou aliada do crime
De acordo com a análise técnica divulgada pela Kaspersky, o Keenadu compromete o componente libandroid_runtime.so, uma biblioteca central do sistema Android que permite que o malware opere “dentro do contexto de cada aplicativo no dispositivo”.
A empresa de segurança ainda alerta que, como o malware se aloja no firmware, é impossível removê-lo usando apenas ferramentas padrão no sistema Android.
Como se proteger
A recomendação é que os usuários instalem uma versão limpa do firmware para seus dispositivos.
Uma alternativa é instalar firmware de terceiros confiáveis, embora isso arrisque a inutilização do aparelho em caso de incompatibilidade. Uma das opções mais seguras é substituir o dispositivo por um produto de fornecedores confiáveis e distribuidores autorizados.
Ao BleepingComputer, o Google afirmou que os aplicativos envolvidos na campanha foram removidos da Play Store e que usuários Android estão automaticamente protegidos contra versões conhecidas do Keenadu com as ferramentas de segurança da big tech.
“O Google Play Protect pode alertar usuários e desativar aplicativos conhecidos por apresentarem comportamento associado ao Keenadu, mesmo quando esses apps vêm de fontes fora da Play Store. Como melhor prática de segurança, recomendamos que os usuários garantam que seu dispositivo seja certificado pelo Play Protect”, disse a empresa em comunicado.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.