Gli esperti di Kaspersky hanno individuato una nuova backdoor nascosta nei firmware di molti dispositivi Android. Keenadu, questo è il nome del malware, può essere distribuito anche tramite app di sistema o app pubblicate sul Play Store. Tra i paesi colpiti c’è anche l’Italia. Google ha comunicato che le app sono state rimosse.
Tre metodi di distribuzione di Keenadu
In base alle ultime rilevazioni di febbraio, i dispositivi infettati da Keenadu sono oltre 13.000 nel mondo, principalmente in Russia, Giappone, Germania, Brasile e Olanda. La modalità di distribuzione preferita è l’attacco supply chain. In pratica viene preinstallata nei firmware di smartphone e tablet a basso costo prima di uscire dalla fabbrica o prima della vendita.
Questa variante non si attiva se la lingua impostata è cinese e se il fuso orario è quello della Cina, chiari indizi della provenienza dei cybercriminali. Inoltre, il malware non funziona se non sono presenti né Google Play Store né Play Services (non è chiaro il motivo di questa eccezione).
Keenadu è una backdoor, quindi permette l’accesso remoto al dispositivo, ma offre altre funzionalità. Può infettare tutte le app, installare app tramite file APK e concedere loro tutte le autorizzazioni disponibili. Ciò significa che tutte le informazioni presenti sul dispositivo, inclusi file multimediali, messaggi, credenziali bancarie, posizione e altri dati sensibili, possono essere compromesse. Il malware è inoltre in grado di monitorare le query di ricerca inserite dall’utente nel browser Chrome in modalità di navigazione in incognito.
La variante nascosta nelle app di sistema ha funzionalità più limitate (ad esempio non può infettare altre app), ma avendo privilegi elevati può installare app all’insaputa degli utenti. I ricercatori di Kaspersky hanno trovato il malware nell’app che gestisce lo sblocco tramite riconoscimento facciale, quindi può raccogliere i dati biometrici.
Una terza variante è stata distribuita con app per videocamere smart pubblicate sul Play Store. Quando avviate, le app consentono ai cybercriminali di aprire schede invisibili del browser per navigare su diversi siti. In questo caso, lo scopo è ottenere guadagni tramite frodi pubblicitarie.
Gli utenti devono installare una versione aggiornata del firmware (se disponibile) oppure acquistare un dispositivo di marca conosciuta. Google ha rimosso tutte le app dal Play Store. La funzionalità Play Protect può rilevare le app infette, anche quelle scaricate da fonti esterne.
Ti potrebbe interessare
20 feb 2026