AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Keenadu: El malware para Android que puede venir preinstalado y amenaza la cadena de suministro móvil

admin

Introducción

La seguridad en dispositivos Android vuelve a situarse en el centro del debate tras la reciente detección de Keenadu, un sofisticado malware identificado por Kaspersky que plantea riesgos significativos para usuarios y empresas. A diferencia de amenazas tradicionales que requieren la instalación manual de aplicaciones maliciosas por parte del usuario, Keenadu destaca por su capacidad para estar preinstalado en el firmware del dispositivo, integrarse en aplicaciones del sistema o incluso distribuirse a través de tiendas oficiales como Google Play. Este vector de ataque representa una evolución preocupante en las tácticas de los actores de amenazas, poniendo en entredicho la integridad de la cadena de suministro de dispositivos móviles.

Contexto del Incidente o Vulnerabilidad

Según el informe de Kaspersky, Keenadu se encuentra actualmente en fase de explotación activa, y ha sido detectado en terminales Android de diferentes fabricantes y regiones. El malware se utiliza principalmente para llevar a cabo fraudes publicitarios, aunque su arquitectura modular permite la ejecución de otras actividades maliciosas. La amenaza es especialmente relevante porque afecta tanto a dispositivos nuevos —al estar presente en el firmware o en aplicaciones de sistema— como a terminales en uso, a través de descargas desde tiendas de aplicaciones oficiales y no oficiales.

La proliferación de malware preinstalado no es nueva, pero Keenadu eleva la amenaza al aprovechar múltiples vectores de entrada, dificultando la detección por parte de soluciones tradicionales de seguridad y complicando la remediación por parte de los equipos de IT corporativos.

Detalles Técnicos

Aunque no se ha asignado aún un identificador CVE específico para Keenadu, los análisis forenses realizados por Kaspersky y otras firmas de ciberseguridad han identificado los siguientes vectores y técnicas de ataque:

– Vector de Infección:
1. Preinstalación en el firmware durante la fabricación o manipulación previa a la venta.
2. Integración en aplicaciones de sistema con privilegios elevados (por ejemplo, servicios de actualización o gestores de archivos).
3. Distribución a través de Google Play y otras tiendas oficiales, camuflado como utilidades legítimas o juegos.

– Tácticas, Técnicas y Procedimientos (TTP) MITRE ATT&CK:
– Initial Access: Supply Chain Compromise (T1195)
– Defense Evasion: Masquerading (T1036), Signed Binary Proxy Execution (T1218)
– Persistence: Boot or Logon Autostart Execution (T1547)
– Command and Control: Application Layer Protocol (T1071)

– Indicadores de Compromiso (IoC):
– Módulos con nombres como «com.android.keensdk», certificados digitales sospechosos y conexiones de red a dominios asociados a fraude publicitario.
– Comportamientos anómalos: generación masiva de clics, instalación de aplicaciones adicionales sin consentimiento, y consumo elevado de recursos.

– Herramientas y frameworks observados:
Si bien no se han reportado exploits públicos para Metasploit o Cobalt Strike específicamente, el diseño modular de Keenadu sugiere posibilidades de integración futura con frameworks ofensivos, especialmente para campañas dirigidas.

Impacto y Riesgos

El impacto de Keenadu varía en función del vector de entrada y el uso posterior del dispositivo comprometido:

– Dispositivos infectados en origen pueden evadir controles de seguridad iniciales, lo que dificulta la garantía de “dispositivo limpio” en entornos corporativos.
– El fraude publicitario puede suponer pérdidas económicas cuantificadas globalmente en miles de millones de euros anuales; solo en 2023, el fraude publicitario móvil superó los 5.000 millones de euros.
– La persistencia en el sistema y los privilegios elevados permiten la instalación de payloads adicionales, abriendo la puerta a robo de credenciales, espionaje corporativo o ataques de ransomware.
– Riesgos de incumplimiento normativo (GDPR, NIS2) en caso de filtración de datos personales o uso indebido de dispositivos corporativos.

Medidas de Mitigación y Recomendaciones

Para minimizar la superficie de ataque y mitigar el impacto de Keenadu, los expertos recomiendan:

– Adquirir dispositivos solo a través de canales oficiales y exigir garantías de integridad del firmware a los proveedores.
– Implantar soluciones EDR/MDR específicas para endpoints móviles, con capacidades forenses y de monitorización de integridad de sistema.
– Realizar auditorías periódicas de dispositivos, validando la integridad del firmware y de las aplicaciones de sistema.
– Restringir el acceso a tiendas de aplicaciones no oficiales y limitar la instalación de apps a aquellas validadas por el departamento de seguridad.
– Configurar políticas de MDM (Mobile Device Management) que permitan la revocación remota y el reseteo seguro de terminales comprometidos.
– Mantenerse actualizado sobre los últimos IoC publicados por comunidades de threat intelligence.

Opinión de Expertos

“La capacidad de Keenadu para infiltrarse en la cadena de suministro y permanecer oculto en el sistema operativo supone un reto mayúsculo para la industria y las organizaciones. Modernizar los procesos de auditoría y establecer relaciones de confianza con los fabricantes es fundamental”, afirma Javier López, analista de amenazas en una multinacional de telecomunicaciones. Por su parte, el equipo de Kaspersky advierte que “la tendencia al malware preinstalado crecerá, especialmente en dispositivos de bajo coste y grandes volúmenes”.

Implicaciones para Empresas y Usuarios

Para las empresas, la presencia de Keenadu supone un riesgo tanto operacional como reputacional. La posible exfiltración de datos o el uso de dispositivos corporativos en campañas de fraude pueden derivar en sanciones regulatorias y pérdida de confianza. Los usuarios, por su parte, son especialmente vulnerables en dispositivos adquiridos en canales no oficiales o en terminales reacondicionados.

Conclusiones

Keenadu representa una evolución en la amenaza del malware móvil, al aprovecharse de la cadena de suministro y mecanismos de persistencia avanzados. Su detección y erradicación requieren un enfoque integral, que combine tecnologías de seguridad, revisión de procesos y concienciación del usuario. La colaboración entre fabricantes, distribuidores y equipos de seguridad será clave para reducir la exposición a este tipo de amenazas en el ecosistema Android.

(Fuente: www.cybersecuritynews.es)