Un nuovo malware Android potrebbe essere già presente su dispositivi appena acquistati. A scoprirlo è Kaspersky, che ha individuato una minaccia denominata Keenadu, capace di infiltrarsi nel firmware, nelle app di sistema e persino in applicazioni distribuite tramite Google Play. Secondo i dati raccolti a febbraio 2026, le soluzioni di mobile security dell’azienda hanno rilevato oltre 13.000 dispositivi infettati. I Paesi maggiormente colpiti risultano essere Russia, Giappone, Germania, Brasile e Paesi Bassi, ma tra le nazioni coinvolte figura anche l’Italia.
La particolarità di Keenadu è la sua versatilità. Attualmente viene impiegato principalmente per frodi pubblicitarie, trasformando gli smartphone infetti in bot che generano clic su annunci online. Tuttavia, alcune varianti sono in grado di garantire agli aggressori un controllo completo del dispositivo, ampliando significativamente il livello di rischio.
Malware nel firmware: controllo totale del dispositivo
Le analisi di Kaspersky evidenziano che alcune versioni di Keenadu vengono integrate direttamente nel firmware durante una fase della supply chain, in modo simile a quanto accaduto nel 2025 con la backdoor Triada. In questi casi il malware si comporta come una vera e propria backdoor, con capacità di controllo illimitate.
Può infettare tutte le applicazioni installate, installare nuovi file APK e concedere autorizzazioni senza che l’utente ne sia consapevole. Questo significa che dati sensibili come file multimediali, messaggi, credenziali bancarie e posizione possono essere compromessi. Il malware è anche in grado di monitorare le ricerche effettuate su Chrome, inclusa la modalità in incognito. Il comportamento varia in base a lingua e configurazione del dispositivo: non si attiva se la lingua è impostata su un dialetto cinese e il fuso orario corrisponde alla Cina. Inoltre, non entra in funzione in assenza di Google Play Store e Google Play Services.
Infezioni anche nelle app di sistema e su Google Play
Un’altra modalità di diffusione riguarda l’integrazione nelle app di sistema, che dispongono di privilegi elevati. In questo scenario, Keenadu può installare applicazioni secondarie selezionate dagli aggressori senza che l’utente se ne accorga. In alcuni casi il malware è stato individuato in un’app per lo sblocco tramite riconoscimento facciale, con potenziali rischi per i dati biometrici, e persino nell’app della schermata iniziale del dispositivo. Gli esperti hanno inoltre rilevato la presenza di Keenadu in applicazioni per telecamere domestiche intelligenti distribuite su Google Play e scaricate oltre 300.000 volte prima della rimozione dallo store. Una volta avviate, tali app potevano aprire schede browser invisibili per generare traffico web fraudolento.
Secondo Dmitry Kalinin, Security Researcher di Kaspersky, il malware preinstallato rappresenta un problema urgente perché può essere presente fin dal momento dell’acquisto, senza alcuna azione da parte dell’utente. Il rischio principale risiede nella compromissione della catena di approvvigionamento, che può permettere al codice malevolo di mascherarsi come componente di sistema legittimo. La scoperta riporta l’attenzione sulla sicurezza della supply chain Android e sull’importanza di utilizzare soluzioni di sicurezza mobile in grado di rilevare minacce integrate a livello di sistema, soprattutto in un contesto in cui il malware può essere nascosto direttamente nel software di base del dispositivo.