O Keenadu é um backdoor sofisticado que atua no nível mais baixo do sistema, sendo embutido na biblioteca libandroid_runtime.so durante a montagem do firmware, o que permite injetar código no processo Zygote e assumir o controle total do dispositivo.
A descoberta, anunciada pela Kaspersky, mostra que o ataque se materializou por meio de uma cadeia de suprimentos comprometida, resultando na infiltração de 13.715 dispositivos Android em cinco países, entre eles o Brasil, com firmware datado de 18 de agosto de 2023 no modelo Alldocube iPlay 50 mini Pro.
Além do vetor de firmware, Keenadu também foi distribuído via aplicativos de câmeras na Google Play, somando mais de 300 mil downloads antes da remoção, o que ampliou o alcance da ameaça.
As capacidades do malware vão além da fraude publicitária: ele pode interceptar credenciais bancárias, capturar senhas, rastrear localização em tempo real e monitorar histórico de navegação, transformando dispositivos infectados em ferramentas de espionagem.
Em resposta, o ecossistema Android removeu apps maliciosos da Play Store, mas dispositivos com firmware comprometido continuam em circulação. Especialistas recomendam verificar a procedência de dispositivos, adotar MDM com detecção comportamental e estabelecer políticas de BYOD mais rígidas, além de monitorar tráfego de rede e priorizar fabricantes com engenharia de segurança robusta.