Celulares Android – Um novo malware voltado para dispositivos Android tem preocupado especialistas em segurança digital ao se instalar diretamente no firmware – o software essencial gravado no hardware dos aparelhos. Batizado de Keenadu, o código malicioso foi identificado em dispositivos de diferentes marcas e tem o Brasil entre os países mais impactados.
Segundo relatório divulgado pela Kaspersky, o Keenadu utiliza múltiplas estratégias de disseminação. Entre elas estão atualizações OTA (over-the-air) comprometidas, enviadas via internet, além da inserção em aplicativos do sistema, versões modificadas de apps distribuídas fora das lojas oficiais e até programas disponibilizados na própria Google Play Store.
LEIA: Autoridades de Los Angeles acionam Roblox por negligência na proteção de menores
Até fevereiro de 2026, a empresa confirmou cerca de 13 mil dispositivos infectados em países como Rússia, Japão, Alemanha, Brasil e Países Baixos. Há diferentes variantes do malware, sendo a mais sofisticada aquela integrada ao firmware, que garante privilégios mais amplos e maior dificuldade de remoção.
Os pesquisadores comparam o Keenadu ao Triada, uma família de ameaças já detectada em celulares falsificados e aparelhos de baixo custo que passaram por cadeias de fornecimento consideradas suspeitas.
Funcionamento e alcance
Na versão embutida no firmware, o Keenadu não é ativado quando identifica idioma ou fuso horário associados à China. Ele também deixa de funcionar se não encontrar a Play Store ou os Serviços do Google Play instalados no aparelho.
Embora a campanha atual esteja direcionada principalmente a fraudes envolvendo anúncios, o malware possui recursos mais amplos. Ele atua como um backdoor – uma porta de acesso remoto – capaz de assumir controle total do dispositivo, infectar todos os aplicativos instalados, conceder permissões irrestritas aos invasores e instalar programas adicionais por meio de arquivos APK.
Com isso, dados como fotos, mensagens, localização, credenciais de acesso e informações bancárias podem ficar expostos. A investigação aponta ainda que o Keenadu consegue monitorar pesquisas feitas no Google Chrome, inclusive quando o usuário navega no modo anônimo.
Em uma das análises, o malware foi encontrado em um aplicativo de sistema voltado ao reconhecimento facial, recurso normalmente utilizado para desbloqueio e autenticação no aparelho. Mesmo versões menos sofisticadas, integradas a apps do sistema, conseguem instalar outros aplicativos sem qualquer alerta ao usuário.
Presença na loja oficial e em tablets
Os especialistas também identificaram o código malicioso em aplicativos de câmeras inteligentes que somavam cerca de 300 mil downloads na Google Play Store. Esses programas já foram removidos. Quando abertos, eles iniciavam abas invisíveis de navegação que acessavam sites em segundo plano.
Além disso, o Keenadu foi detectado no firmware de tablets Android de diversos fabricantes. Em um dos casos citados, o modelo Alldocube iPlay 50 mini Pro apresentava firmware datado de agosto de 2023 contendo o malware. Posteriormente, um cliente relatou que o servidor de atualizações OTA da fabricante teria sido comprometido, permitindo a inserção do código malicioso. A empresa reconheceu o incidente, mas não detalhou a ameaça.
Remoção e recomendações
De acordo com a análise técnica, o Keenadu compromete o componente libandroid_runtime.so, biblioteca central do sistema Android. Ao operar dentro do contexto de cada aplicativo, o malware amplia sua capacidade de ação e dificulta sua identificação.
Como o código se aloja no firmware, não é possível eliminá-lo apenas com ferramentas padrão do sistema. A recomendação é instalar uma versão limpa do firmware fornecida por canais confiáveis. Outra alternativa é recorrer a firmwares de terceiros reconhecidos, embora exista risco de incompatibilidade que pode inutilizar o aparelho.
A substituição do dispositivo por modelos adquiridos de fornecedores oficiais também é apontada como uma medida mais segura.
Procurado pelo site BleepingComputer, o Google informou que os aplicativos envolvidos foram removidos da Play Store e que usuários estão protegidos contra versões conhecidas do Keenadu por meio das ferramentas de segurança da empresa.
Segundo a companhia, o Google Play Protect pode alertar e desativar aplicativos associados à ameaça, inclusive aqueles instalados fora da loja oficial, e recomenda que os usuários verifiquem se seus dispositivos possuem certificação do sistema de proteção.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)
