Hack Alerta

Backdoor Keenadu infecta firmware de tablets Android e liga grandes botnets

Por Redação Hack Alerta Publicado em 17/02/2026 08:10 Riscos e Ameaças Tempo de leitura: 6 min

Pesquisadores da Kaspersky descobriram o backdoor Keenadu, que infecta firmware de tablets Android durante a compilação, se espalha pelo Google Play e revela conexões entre os grandes botnets Triada, BADBOX e Vo1d. O Brasil está entre os países mais afetados.

Backdoor Keenadu infecta firmware de tablets Android e liga grandes botnets

Pesquisadores da Kaspersky descobriram um novo backdoor, batizado de Keenadu, que compromete o firmware de tablets Android durante a fase de compilação, injetando-se no processo Zygote para controlar remotamente dispositivos. A ameaça, que também se espalha por aplicativos no Google Play e em lojas de terceiros, revelou conexões inéditas entre alguns dos maiores botnets Android: Triada, BADBOX e Vo1d. O Brasil está entre os cinco países com mais vítimas detectadas, com mais de 13.715 usuários afetados globalmente.

Descoberta e escopo

A investigação começou após um relatório de abril de 2025 sobre uma nova variante do backdoor Triada que comprometia o firmware de dispositivos Android falsificados. Aprofundando a análise, a Kaspersky encontrou o Keenadu, que espelha o comportamento do Triada ao se embutir na biblioteca libandroid_runtime.so do sistema. A infecção ocorre durante a construção do firmware, onde uma biblioteca estática maliciosa, libVndxUtils.a, é vinculada ao sistema. Firmwares assinados digitalmente de marcas como Alldocube (modelo iPlay 50 mini Pro) continham o backdoor, indicando um comprometimento da cadeia de suprimentos. Em vários casos, o firmware comprometido foi entregue via atualizações OTA (Over-The-Air).

Mecanismo de infecção e arquitetura

O backdoor é um carregador multiestágio que opera com uma arquitetura cliente-servidor. Uma vez ativo no dispositivo, o malware injeta uma cópia de si mesmo no espaço de endereçamento de cada aplicativo lançado, burlando completamente o sandboxing do Android. O componente AKServer, executado no processo system_server com privilégios máximos, atua como um serviço de sistema malicioso. O AKClient, injetado em todos os aplicativos, comunica-se com o servidor via binder IPC para carregar módulos maliciosos sob demanda.

O Keenadu fornece interfaces para:

  • Conceder ou revogar qualquer permissão para qualquer aplicativo no dispositivo.
  • Coletar e exfiltrar geolocalização e informações do dispositivo.
  • Carregar e executar payloads DEX arbitrários no contexto de aplicativos específicos.

Essa arquitetura concede aos operadores controle praticamente irrestrito sobre o dispositivo da vítima.

Payloads e módulos maliciosos

Os pesquisadores interceptaram vários payloads baixados pelo backdoor, cada um direcionado a aplicativos específicos:

  • Hijacker de navegador Chrome: Monitora a barra de endereços (url_bar), exfiltrando consultas de pesquisa e redirecionando mecanismos de busca conforme configuração do servidor C2.
  • Clicker Nova (Phantom): Utiliza machine learning e WebRTC para interagir furtivamente com elementos de anúncios em sites temáticos. Foi encontrado embutido no aplicativo de papel de parede do sistema e em apps modificados no Google Play.
  • Monetização de instalações: Injetado no launcher do sistema (com.android.launcher3), monitora sessões de instalação de aplicativos e simula cliques em anúncios para fraudar plataformas de publicidade.
  • Loader para lojas online: Direciona aplicativos da Amazon, SHEIN e Temu, podendo baixar e instalar APKs adicionais via sessões de instalação, uma técnica para contornar restrições de permissões em versões recentes do Android.

Conexões com grandes botnets e vetores alternativos

A investigação estabeleceu ligações entre o Keenadu e outros botnets proeminentes:

  • BADBOX: Uma variante do BADBOX foi encontrada baixando e executando um carregador do Keenadu. Os pesquisadores também identificaram semelhanças de código entre os payloads dos dois backdoors.
  • Triada e Vo1d: Análises anteriores já sugeriam uma conexão entre Triada e Vo1d. Agora, a descoberta de que o BADBOX também está ligado ao Triada (compartilhando domínios C2 como zcnewy[.]com) revela uma teia de interações entre esses grandes botnets Android.

Além do vetor principal via firmware, o Keenadu foi distribuído por outros meios:

  • Aplicativos de sistema comprometidos: O carregador foi encontrado embutido em serviços críticos como o de reconhecimento facial (com.aiworks.faceidservice) e em launchers de dispositivos.
  • Google Play: Aplicativos de câmeras inteligentes, com mais de 300 mil instalações coletivas, continham um serviço embutido que lançava o clicker Nova. O Google removeu os apps após notificação.
  • Xiaomi GetApps: Módulos do Keenadu também foram encontrados em aplicativos distribuídos pela loja oficial da Xiaomi.

Impacto e alcance

De acordo com a telemetria da Kaspersky, 13.715 usuários em todo o mundo encontraram o Keenadu ou seus módulos. Os países com maior número de ataques detectados são Rússia, Japão, Alemanha, Brasil e Holanda. A presença do Brasil no top 5 destaca a relevância local da ameaça.

Recomendações e remediação

Remover o Keenadu quando ele está embutido no libandroid_runtime.so do firmware é extremamente difícil, pois a partição do sistema é montada como somente leitura. A Kaspersky recomenda:

  1. Verificar atualizações de firmware: Contate o fabricante do dispositivo para saber se uma versão limpa do firmware já foi lançada.
  2. Desativar aplicativos de sistema infectados: Se o carregador estiver em um app de sistema (ex.: serviço de reconhecimento facial), é possível desativá-lo via ADB com o comando adb shell pm disable --user 0 %PACKAGE%, desde que um substituto seguro exista.
  3. Desinstalar aplicativos infectados: Se a detecção for em um app instalado pelo usuário, a remoção padrão é suficiente.
  4. Evitar o uso até a correção: Se nenhum firmware limpo estiver disponível, considere interromper o uso do dispositivo infectado devido aos riscos de privacidade e segurança.

Implicações e conclusão

O Keenadu representa uma ameaça de alto nível técnico, demonstrando um profundo entendimento da arquitetura Android e dos princípios de segurança do sistema. Sua descoberta evidencia a sofisticação e a escala do mercado de backdoors pré-instalados, colocando-o no mesmo patamar de ameaças consolidadas como Triada e BADBOX. Embora os payloads atuais foquem em fraudes com anúncios, a infraestrutura permite que os operadores evoluam para roubo de credenciais e espionagem. A ligação entre grandes botnets sugere um ecossistema criminoso interconectado e em evolução, exigindo vigilância contínua de fabricantes, lojas de aplicativos e usuários finais.

Baseado em publicação original de Securelist (Kaspersky)
Tags: #android #malware #backdoor #firmware #botnet #brasil #keenadu #kaspersky #supply-chain
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar