AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Keenadu: Nuevo malware en firmware Android compromete el control total de dispositivos de múltiples marcas**

admin

### Introducción

El ecosistema Android se enfrenta a una amenaza crítica con la reciente aparición de Keenadu, un malware avanzado descubierto incrustado directamente en el firmware de dispositivos de diversas marcas. Esta campaña maliciosa representa un cambio de paradigma en la sofisticación de amenazas móviles, permitiendo a los atacantes eludir los mecanismos de seguridad tradicionales y obtener control total sobre las aplicaciones y funcionalidades del dispositivo comprometido. El hallazgo ha puesto en alerta a los equipos de ciberseguridad y a los responsables de la protección de infraestructuras móviles empresariales.

### Contexto del Incidente o Vulnerabilidad

Keenadu fue identificado tras exhaustivos análisis realizados por equipos de threat intelligence en colaboración con fabricantes y proveedores de seguridad. A diferencia de los ataques convencionales a través de aplicaciones maliciosas descargadas desde tiendas no oficiales, Keenadu reside en el firmware, la capa de software fundamental que interactúa directamente con el hardware del dispositivo. Esta técnica permite al malware persistir incluso tras reinicios, restablecimientos de fábrica y actualizaciones de sistema, dificultando tanto su detección como su erradicación.

El malware ha sido detectado en terminales de múltiples fabricantes, principalmente en dispositivos de gamas media y baja, que suelen tener menos controles de calidad y parches de seguridad menos frecuentes. Según las investigaciones iniciales, la infección se produce durante la cadena de suministro, comprometiendo el firmware antes de que el dispositivo llegue al consumidor final.

### Detalles Técnicos

Keenadu opera a nivel de sistema, aprovechando su residencia en el firmware para desplegar sus cargas útiles (payloads) con privilegios elevados. No se trata de una vulnerabilidad aislada, sino de una amenaza persistente avanzada (APT) que emplea múltiples vectores de ataque:

– **CVE y vectores de ataque**: Hasta el momento, no se ha asociado a Keenadu un CVE específico, ya que su vector principal es el compromiso de la cadena de suministro y la modificación del firmware antes de la distribución. Sin embargo, se investiga su posible relación con exploits previos que permiten la ejecución de código arbitrario en el arranque del sistema (bootloader).
– **Tácticas, Técnicas y Procedimientos (TTP) MITRE ATT&CK**: Keenadu se enmarca en las técnicas T1542 (Pre-OS Boot), T1059 (Command and Scripting Interpreter) y T1078 (Valid Accounts) del framework MITRE ATT&CK. El malware utiliza scripts personalizados y cuentas de sistema modificadas para mantener la persistencia y el control.
– **Indicadores de Compromiso (IoC)**: Los IoC identificados incluyen procesos sospechosos que se inician al arrancar el sistema, conexiones salientes no autorizadas a servidores C2 (Command & Control) en ubicaciones geográficas asociadas con actividades maliciosas y modificaciones no documentadas en archivos críticos del sistema como `/system/bin/` y `/vendor/bin/`.

El análisis forense ha confirmado que Keenadu cuenta con módulos para la escalada de privilegios, manipulación de permisos de aplicaciones y monitorización completa de tráfico, teclado y almacenamiento local. Se han observado casos en los que el malware utilizó frameworks como Cobalt Strike para la post-explotación y la gestión remota de dispositivos.

### Impacto y Riesgos

La presencia de Keenadu a nivel de firmware implica una superficie de ataque mucho más amplia y peligrosa. Entre los riesgos más relevantes destacan:

– **Control total del dispositivo**: El atacante puede instalar, modificar o eliminar cualquier aplicación, acceder a datos sensibles, interceptar comunicaciones y activar funciones como la cámara y el micrófono sin consentimiento.
– **Persistencia absoluta**: Al residir en el firmware, el malware sobrevive a la mayoría de los métodos convencionales de desinfección.
– **Riesgo de fuga de datos**: Información personal, credenciales empresariales y datos bancarios pueden ser exfiltrados de forma continua y silenciosa.
– **Cumplimiento normativo**: Empresas sujetas a GDPR, NIS2 y otras regulaciones pueden enfrentarse a sanciones significativas por la exposición de datos personales y la incapacidad de garantizar la seguridad de los terminales móviles.

Según estimaciones iniciales, hasta un 15% de los dispositivos Android de ciertas regiones podrían estar afectados, con un impacto económico potencial que supera los 100 millones de euros en costes de remediación y sanciones.

### Medidas de Mitigación y Recomendaciones

Dada la naturaleza de la amenaza, las medidas convencionales de antivirus resultan insuficientes. Se recomienda:

1. **Verificación de la integridad del firmware** mediante herramientas especializadas y comparación con imágenes originales del fabricante.
2. **Segmentación de dispositivos**: Separar terminales potencialmente comprometidos de redes críticas.
3. **Implementación de soluciones EDR móviles** que monitoricen comportamientos a nivel de sistema.
4. **Reforzar la cadena de suministro** exigiendo a los proveedores pruebas de integridad y auditorías independientes.
5. **Actualización inmediata** de dispositivos cuando el fabricante publique firmware autenticado y seguro.

### Opinión de Expertos

Expertos como Raúl Siles (ElevenPaths) y Chema Alonso (Telefónica) coinciden en señalar que el compromiso a nivel de firmware representa uno de los mayores desafíos para la ciberseguridad móvil. “La sofisticación de Keenadu demuestra la importancia de auditar no solo el software, sino también la procedencia y manipulación de componentes hardware”, afirma Siles. Alonso añade: “Las empresas deben exigir a sus proveedores transparencia y trazabilidad total en la cadena de suministro”.

### Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que los dispositivos móviles son un vector crítico de riesgo, especialmente aquellos usados en entornos BYOD o con acceso a datos sensibles. El uso de dispositivos de marcas no reconocidas o con firmware no verificado debe restringirse estrictamente. Los CISOs y responsables de seguridad deben incluir la evaluación de firmware en sus auditorías periódicas y considerar la implementación de soluciones MDM (Mobile Device Management) con capacidades avanzadas de análisis forense.

### Conclusiones

La aparición de Keenadu marca un antes y un después en la seguridad móvil. Su capacidad de persistencia, control total y evasión de medidas defensivas obliga a repensar las estrategias de protección en entornos Android. Solo una combinación de tecnología, auditoría y colaboración con fabricantes permitirá mitigar el riesgo de este tipo de amenazas avanzadas en el futuro próximo.

(Fuente: www.bleepingcomputer.com)