Un nuovo malware Android potrebbe essere già presente su smartphone e tablet appena acquistati. Si chiama Keenadu ed è stato individuato da Kaspersky, che a febbraio 2026 ha rilevato oltre 13.000 dispositivi infetti a livello globale. Tra i Paesi coinvolti figurano Russia, Giappone, Germania, Brasile, Paesi Bassi e anche Italia.
La particolarità di questa minaccia è la modalità di diffusione: Keenadu può essere integrato direttamente nel firmware del dispositivo, nascosto all’interno di app di sistema oppure distribuito tramite applicazioni pubblicate perfino su Google Play. Una dinamica che rende il problema particolarmente delicato perché l’utente potrebbe non aver compiuto alcuna azione rischiosa.
Malware nel firmware: controllo totale del dispositivo
La variante più pericolosa di Keenadu è quella integrata nel firmware durante una fase della supply chain. In questo scenario il malware si comporta come una vera e propria backdoor, consentendo agli aggressori un controllo completo del dispositivo.
Può infettare tutte le applicazioni installate, installare nuovi APK con tutte le autorizzazioni disponibili e accedere a dati sensibili come file multimediali, messaggi, credenziali bancarie e posizione geografica. Il malware è in grado anche di monitorare le query di ricerca effettuate in Chrome in modalità incognito, compromettendo ulteriormente la privacy dell’utente.
Keenadu non si attiva in determinate condizioni: se la lingua del dispositivo è impostata su dialetti cinesi e il fuso orario corrisponde alla Cina, oppure se non sono presenti Google Play Store e Google Play Services. Un comportamento che suggerisce un’implementazione selettiva.
Nascosto nelle app di sistema e su Google Play
In altre varianti, Keenadu è stato individuato all’interno di app di sistema con privilegi elevati, tra cui applicazioni per lo sblocco tramite riconoscimento facciale e launcher della schermata iniziale. In questi casi le funzionalità risultano più limitate, ma il malware può comunque installare applicazioni secondarie senza che l’utente ne sia consapevole.
Gli esperti di Kaspersky hanno inoltre scoperto app per telecamere domestiche intelligenti infette su Google Play, scaricate oltre 300.000 volte prima della rimozione. Una volta avviate, tali app aprivano schede invisibili del browser, utilizzate per generare traffico e clic pubblicitari fraudolenti. Attualmente, Keenadu viene sfruttato principalmente per frodi pubblicitarie, trasformando i dispositivi infetti in bot per generare clic su annunci. Tuttavia, alcune varianti consentono funzionalità molto più invasive, rendendo la minaccia potenzialmente più ampia.
Un problema di sicurezza nella catena di approvvigionamento
Secondo Dmitry Kalinin, Security Researcher di Kaspersky, il fenomeno del malware preinstallato rappresenta una criticità crescente. In alcuni casi, i produttori potrebbero non essere consapevoli della compromissione della supply chain, anche perché Keenadu è in grado di imitare componenti di sistema legittimi.
Per ridurre il rischio, Kaspersky raccomanda di utilizzare una soluzione di sicurezza mobile affidabile, verificare la disponibilità di aggiornamenti firmware e, se necessario, disabilitare eventuali app di sistema sospette o launcher compromessi. Il caso Keenadu dimostra come la sicurezza Android non dipenda più solo dalle azioni dell’utente. Anche un dispositivo nuovo può nascondere minacce già integrate, rendendo essenziale un controllo costante e strumenti di protezione aggiornati.
