Que un móvil venga con ciertas apps preinstaladas suele ser molesto, pero asumible. Lo preocupante es que algunos usuarios están recibiendo teléfonos Android totalmente nuevos con un virus ya metido de fábrica, sin haber instalado nada por su cuenta.
Según una investigación de la compañía rusa de ciberseguridad Kaspersky Lab, se han identificado más de 13.000 smartphones Android nuevos que salieron al mercado con el malware conocido como Keenadu integrado en el sistema. Lo llamativo del caso es que estos dispositivos se vendieron en distintos países y que, en principio, los propios fabricantes no serían conscientes de la infección.
Un virus preinstalado en fábrica que afecta a miles de móviles
De acuerdo con los datos facilitados por Kaspersky a medios rusos como el diario Védomosti, la mayor parte de los más de 13.000 terminales comprometidos se detectaron en Rusia, donde se han contabilizado alrededor de 9.000 dispositivos afectados. El resto se habría distribuido en otros mercados internacionales, lo que evidencia un problema de alcance global en la cadena de producción.
El malware Keenadu no se ha limitado al mercado ruso. Casos similares se han localizado en móviles vendidos en Alemania, Países Bajos, Japón y Brasil, lo que sugiere que la contaminación se ha producido en algún punto compartido de la cadena de suministro o del proceso de programación de los teléfonos, y no solo en un distribuidor local concreto.
Lo que hace especialmente inquietante este incidente es que los dispositivos llegaban a manos de los usuarios como si fueran completamente nuevos y legítimos, sin signos aparentes de manipulación. Desde la primera vez que se enciende el terminal, el sistema ya carga componentes maliciosos que el usuario no ha instalado ni autorizado.
La propia Kaspersky subraya que el caso no se limita a una única marca o modelo, sino que afecta a varios fabricantes, lo que refuerza la hipótesis de un fallo o ataque dirigido a la cadena de suministro en lugar de a un único proveedor. Para el usuario final, distinguir entre un móvil limpio y otro infectado resulta prácticamente imposible sin herramientas de análisis avanzadas.
Desde un punto de vista europeo, episodios como este vuelven a poner sobre la mesa la necesidad de reforzar los controles de seguridad en dispositivos Android que llegan al mercado comunitario, así como de mejorar las auditorías sobre firmware y software preinstalado que acompaña a los terminales nuevos.
Cómo se cuela Keenadu en la cadena de suministro
Los analistas de Kaspersky apuntan a que Keenadu se integra en algún momento entre la fabricación del dispositivo y la carga del sistema operativo. En ese tramo intervienen varios actores: ensambladores, desarrolladores de firmware, proveedores de software de terceros y empresas que añaden servicios personalizados antes de que el terminal llegue al distribuidor.
En declaraciones recogidas por la prensa rusa, el experto de Kaspersky Dmitri Kalinin explica que Keenadu se camufla como si fuera un componente legítimo del sistema. Es decir, adopta la apariencia de archivos o servicios que parecen formar parte del propio Android o de las capas de personalización del fabricante, lo que complica muchísimo su detección con las herramientas habituales.
Esta capacidad de hacerse pasar por software del sistema permite que el malware quede incrustado en el teléfono incluso antes de que el usuario lo configure por primera vez. Para cualquiera que lo encienda, el dispositivo se comporta aparentemente como un móvil normal, pero en segundo plano ya se están ejecutando procesos maliciosos. Esto además complica muchísimo su detección con las herramientas habituales.
Kalinin señala que una de las claves del problema es la falta de un control exhaustivo de cada etapa del proceso de producción. En su opinión, para evitar que se repitan situaciones como esta es imprescindible auditar de manera minuciosa todas las fases en las que se manipula el firmware y verificar quién aporta cada pieza de software que se integra en el sistema.
Cuando un atacante consigue comprometer uno de esos eslabones, obtiene una vía directa para inyectar código malicioso en miles de dispositivos antes de su venta. De esta forma, en lugar de ir infectando móviles uno a uno, se asegura de que salgan del almacén ya contaminados, lo que multiplica el alcance del ataque y el beneficio económico que puede obtener después.
Este tipo de incidentes encaja con una tendencia que preocupa a la industria: los llamados ataques a la cadena de suministro, en los que el objetivo no es solo el usuario final, sino los proveedores intermedios que participan en el desarrollo de software y hardware. Para Europa y España, donde el uso de Android es masivo, se trata de un aviso claro de hasta qué punto es necesario endurecer los requisitos de certificación para terminales importados.
Qué hace Keenadu y por qué resulta tan rentable para los ciberdelincuentes
El propósito principal de Keenadu es, según Kaspersky, explotar la publicidad online con fines fraudulentos. Los dispositivos comprometidos se convierten en bots que simulan ser usuarios reales, generando clics en anuncios sin que el propietario del teléfono sea consciente de ello.
En la práctica, esto significa que miles de móviles trabajan en segundo plano realizando clics automáticos en campañas publicitarias, inflando artificialmente las estadísticas de visitas y generando ingresos para los delincuentes. Al otro lado, empresas y anunciantes pagan por una supuesta audiencia que, en realidad, son solo dispositivos infectados cumpliendo órdenes.
Este tipo de fraude publicitario se ha consolidado como un negocio criminal muy lucrativo. Cuantos más móviles estén infectados, más clics pueden producir y, por tanto, mayores son los beneficios económicos. El caso de Keenadu encaja de lleno en esta lógica: una campaña capaz de propagarse desde la fábrica asegura una base de bots amplia y estable.
Pero el problema no se queda en la publicidad. Kaspersky advierte de que Keenadu también tiene la capacidad de tomar el control casi total del dispositivo. En función de cómo se configure, el malware puede descargar módulos adicionales, ejecutar órdenes de forma remota e incluso llegar a acceder a información sensible almacenada en el teléfono.
Entre los datos potencialmente expuestos se encuentran contactos, mensajes, historiales de navegación, credenciales guardadas o información de apps bancarias, dependiendo del grado de acceso que el malware consiga obtener. Aunque el foco inicial esté en el fraude publicitario, la presencia de una puerta trasera de este tipo abre la puerta a otros usos maliciosos más agresivos.
De cara al usuario medio en España o en otros países europeos, el mayor problema es que el terminal puede parecer que funciona con normalidad, salvo por un posible aumento en el consumo de datos o de batería. La mayoría de afectados ni siquiera sospecha que su móvil forma parte de una red de bots o que su información personal podría estar en riesgo, especialmente cuando se compra a importadores o tiendas poco transparentes.
La importancia de reforzar controles y protección en móviles Android
El caso de Keenadu refuerza la idea de que la seguridad de un teléfono no empieza cuando el usuario lo enciende, sino mucho antes, en los procesos industriales y en las decisiones de los fabricantes sobre qué software se instala por defecto en cada terminal.
Los especialistas en ciberseguridad insisten en que los productores de móviles deben supervisar con lupa a todos los proveedores de firmware y aplicaciones preinstaladas. Cualquier componente de terceros que se integre en la imagen del sistema ha de someterse a auditorías independientes y revisiones de código para evitar que se convierta en una vía de entrada para malware integrado de serie.
Por su parte, las autoridades reguladoras de regiones como la Unión Europea disponen de margen para exigir estándares de seguridad más exigentes a los dispositivos que se comercializan en su territorio. Esto incluye desde certificaciones específicas para el software de sistema hasta controles aleatorios sobre terminales recién llegados al mercado para comprobar que no incluyen componentes maliciosos ocultos.
Para los consumidores, aunque no tengan capacidad de auditar un firmware, sí es recomendable adoptar algunas medidas: mantener el sistema operativo y las apps siempre actualizados, instalar una solución de seguridad fiable y desconfiar de móviles de procedencia dudosa o con capas de personalización poco conocidas, especialmente cuando se compran a importadores o tiendas poco transparentes.
En el ámbito empresarial, donde se gestionan datos especialmente sensibles, se vuelve casi obligatorio establecer políticas de compra de dispositivos más estrictas, priorizando aquellos fabricantes que ofrecen compromisos claros en materia de actualizaciones de seguridad, auditorías y control de la cadena de suministro. Un móvil con un malware oculto de serie puede servir de puerta de entrada a toda una red corporativa.
Todo este episodio con Keenadu funciona como recordatorio de hasta qué punto el ecosistema Android, por su gran diversidad de fabricantes y proveedores, es especialmente vulnerable a este tipo de ataques. Aunque el usuario final poco puede hacer frente a un malware que ya viene preinstalado, una combinación de mayor presión regulatoria, controles internos más rigurosos y herramientas de seguridad adecuadas puede reducir de forma notable el riesgo de que más teléfonos lleguen contaminados al mercado.
