### Un backdoor incrustado en el firmware Android permite el control remoto y el robo de datos en múltiples marcas

#### Introducción

La amenaza de puertas traseras (backdoors) a nivel de firmware en dispositivos Android vuelve a situarse en el foco de la ciberseguridad tras el reciente descubrimiento de un nuevo malware avanzado, bautizado como Keenadu. Según el análisis técnico de Kaspersky, esta backdoor se encuentra embebida profundamente en la propia imagen de firmware de varios dispositivos Android, afectando a marcas como Alldocube y potencialmente a otros fabricantes. El hallazgo pone de manifiesto la creciente sofisticación de los atacantes, quienes ya no se limitan a comprometer aplicaciones o sistemas operativos, sino que aprovechan la cadena de suministro para introducir amenazas persistentes desde la fase de fabricación.

#### Contexto del Incidente

El descubrimiento de Keenadu se produce en un contexto donde la seguridad de la cadena de suministro es objeto de creciente preocupación, especialmente tras incidentes recientes como SolarWinds o los ataques a proveedores de hardware. En este caso, el backdoor fue detectado en dispositivos Android de diversas marcas, principalmente aquellas con procesos de fabricación y ensamblaje externalizados en Asia. El compromiso se origina durante la fase de construcción del firmware, por lo que el malware viene integrado de fábrica, eludiendo los controles de seguridad habituales y dificultando la detección incluso por parte de soluciones EDR o MDM tradicionales.

#### Detalles Técnicos

Keenadu se caracteriza por su integración en la imagen de firmware, habitualmente en particiones del sistema con privilegios elevados. Aunque aún no dispone de un CVE asignado, las investigaciones iniciales apuntan a que el vector de ataque principal es la manipulación de la cadena de suministro en la fase de ensamblaje o personalización del firmware.

**Tácticas, técnicas y procedimientos (TTPs) MITRE ATT&CK vinculados:**
– **T1059 (Command and Scripting Interpreter):** Keenadu emplea interpretes internos para ejecutar comandos remotos.
– **T1071.001 (Application Layer Protocol: Web Protocols):** La exfiltración de datos y la comunicación C2 se realiza mediante HTTP(S) camuflado como tráfico legítimo.
– **T1547 (Boot or Logon Autostart Execution):** Persistencia asegurada mediante hooks en el proceso de arranque del sistema.

**Indicadores de Compromiso (IoC) conocidos:**
– Conexiones outbound a dominios .cn y .ru sospechosos.
– Presencia de binarios no documentados en `/system/bin/` y `/system/xbin/`.
– Modificaciones en archivos de inicialización (`init.rc`) para asegurar la carga de la backdoor en cada boot.
– En ocasiones, uso de frameworks como Metasploit para la explotación posterior a la intrusión, aunque el payload inicial es propio.

#### Impacto y Riesgos

El impacto de Keenadu es especialmente grave debido a su persistencia a nivel de firmware. El backdoor puede:
– Recabar información sensible: SMS, contactos, historial de llamadas, credenciales de aplicaciones, geolocalización, y archivos almacenados.
– Tomar control remoto: activar micrófono o cámara, instalar aplicaciones maliciosas adicionales y modificar configuraciones críticas del sistema.
– Eludir el reseteo de fábrica, ya que la infección sobrevive a cualquier restauración del sistema operativo convencional.
– Facilitar ataques secundarios (lateral movement) en entornos corporativos BYOD.

Se estima que, solo en el último trimestre, el 2,3% de los dispositivos Android de gama media-baja comercializados en EMEA y LATAM podrían estar afectados, según datos cruzados de Kaspersky y GSMA. Las implicaciones económicas y de privacidad son críticas, especialmente en sectores regulados bajo GDPR, NIS2 o la Directiva de Resiliencia Operativa Digital (DORA).

#### Medidas de Mitigación y Recomendaciones

Las opciones de mitigación ante una amenaza de esta naturaleza son limitadas:
– **Auditoría de la cadena de suministro:** Exigir a fabricantes pruebas independientes de integridad del firmware, con hashes firmados y verificables.
– **Reflashing con imágenes de firmware limpias:** Solo viable si el fabricante proporciona ROMs legítimas y actualizadas.
– **Monitorización de tráfico de red:** Detectar patrones anómalos asociados a C2, especialmente en dispositivos BYOD.
– **Implementar listas blancas de aplicaciones y binarios críticos en EMM/MDM.**
– **Evitar la compra de dispositivos de fabricantes sin reputación contrastada o sin soporte de actualizaciones de seguridad verificadas.**

#### Opinión de Expertos

Expertos de Kaspersky y analistas independientes del CERT europeo coinciden en que los ataques a la cadena de suministro de firmware son una tendencia al alza. “El hecho de que la infección esté presente antes incluso de que el usuario encienda el dispositivo por primera vez plantea un reto sin precedentes para la ciberseguridad empresarial”, advierte Ivan Kwiatkowski, investigador senior de Kaspersky. Por su parte, consultores de S21sec recomiendan reforzar la homologación de dispositivos móviles y presionar a los fabricantes para adoptar mecanismos de arranque seguro (Secure Boot) y validación de integridad.

#### Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas que permiten el uso de dispositivos Android personales (BYOD) o corporativos, la amenaza Keenadu implica la necesidad de revisar los procedimientos de adquisición, inventario y gestión de terminales. La introducción de una backdoor a este nivel puede facilitar el robo de propiedad intelectual, fuga de datos personales de empleados y clientes, e incluso la propagación de malware en la red interna.

Los usuarios finales, por su parte, quedan en una posición de indefensión relativa, ya que la infección es completamente invisible y resistente a los procedimientos de restauración convencionales.

#### Conclusiones

El descubrimiento de Keenadu evidencia la urgente necesidad de mejorar las prácticas de seguridad en torno a la cadena de suministro de dispositivos Android. Las organizaciones deben extremar las precauciones en la adquisición y gestión de terminales, exigir transparencia a los proveedores y reforzar la monitorización de indicadores de compromiso a nivel de red y endpoint. Solo una aproximación integral y colaborativa entre industria, fabricantes y reguladores permitirá mitigar la creciente amenaza de malware persistente a nivel de firmware.

(Fuente: feeds.feedburner.com)