O Keenadu Android é uma ameaça que elevou o nível de preocupação no universo da segurança móvel. Diferente de aplicativos maliciosos comuns, o malware Keenadu foi identificado diretamente no firmware de tablets, o que significa que ele pode estar presente no dispositivo desde a primeira inicialização.
A descoberta, atribuída a pesquisadores da Kaspersky, revelou que o Brasil está entre os principais países afetados. Isso torna o alerta ainda mais relevante para consumidores e empresas que utilizam tablets Android no dia a dia.
Estamos diante de um caso grave de backdoor em firmware, um tipo de comprometimento que opera abaixo da camada visível do sistema e oferece controle avançado aos atacantes.
O que é o Keenadu e como funciona no Android
O Keenadu Android é classificado como uma porta dos fundos embutida no firmware do dispositivo. Em vez de se comportar como um aplicativo instalado pelo usuário, ele altera componentes críticos do sistema operacional, garantindo persistência mesmo após restauração de fábrica.
O ponto central da infecção envolve a modificação da biblioteca libandroid_runtime.so, um componente essencial do funcionamento interno do Android. Ao interferir nessa biblioteca, o malware passa a integrar o fluxo normal do sistema, operando com privilégios elevados.
Diferente de ameaças tradicionais, o malware Keenadu não depende de permissões concedidas manualmente. Ele já está integrado ao sistema desde o nível mais profundo, o que dificulta detecção e remoção.
O papel do processo Zygote
Para entender a sofisticação do ataque, é fundamental compreender o processo Zygote.
No Android, o Zygote é responsável por iniciar praticamente todos os aplicativos. Ele carrega bibliotecas compartilhadas e cria as instâncias que dão origem aos apps executados pelo usuário.
Ao comprometer a libandroid_runtime.so, o Keenadu consegue se inserir no fluxo do Zygote, o que permite que ele seja carregado automaticamente sempre que um novo aplicativo é iniciado.
Na prática, isso significa que qualquer app aberto pode ser afetado. O malware passa a ter presença sistêmica, tornando-se invisível aos olhos do usuário.
Atualizações OTA assinadas
Outro fator alarmante é a distribuição por meio de atualizações OTA.
Atualizações OTA, ou “Over The Air”, são pacotes oficiais enviados pelo fabricante para atualizar o sistema. No caso investigado, o firmware já continha o backdoor em firmware quando foi distribuído.
Isso cria um cenário delicado. O usuário confia em atualizações oficiais como um mecanismo de proteção. Porém, quando a própria cadeia de distribuição está comprometida, a confiança é quebrada.
Esse método torna o Keenadu ainda mais perigoso, pois a infecção pode ocorrer sem qualquer ação suspeita por parte do usuário.
Arquitetura interna do malware Keenadu no Android
O funcionamento do Keenadu Android é estruturado de forma modular, com destaque para os componentes AKServer e AKClient.
O AKServer atua como núcleo de controle. Ele mantém comunicação com servidores remotos e coordena as ações executadas no dispositivo comprometido.
Já o AKClient é responsável pela execução prática das tarefas maliciosas dentro do sistema, interagindo com aplicativos e processos ativos.
Essa divisão torna o malware mais resiliente e adaptável. Caso uma parte seja identificada, a outra pode continuar operando. Além disso, essa arquitetura facilita a atualização remota das funcionalidades maliciosas.
Trata-se de uma estrutura organizada, projetada para permanência e controle contínuo.
Dispositivos afetados e marcas envolvidas
Entre os modelos identificados está o Alldocube iPlay 50 mini Pro, tablet que ganhou espaço no mercado por seu preço competitivo.
A presença do Keenadu Android nesse dispositivo levanta preocupações sobre tablets de fabricantes menos conhecidos ou que utilizam cadeias de fornecimento de firmware com menor rigor de auditoria.
Também foram associados ao ecossistema comprometido aplicativos de câmera como Eoolii, Ziicam e Eyeplus, que podem ter sido utilizados como parte da estrutura de suporte ao ambiente infectado.
O risco pode se estender a dispositivos com firmware compartilhado ou fornecedores semelhantes, especialmente em mercados emergentes.
Impactos e riscos para o usuário
Os impactos do malware Keenadu vão além de simples exibição de anúncios.
As análises indicam envolvimento com fraude publicitária, geração artificial de cliques e manipulação de tráfego. Também há registro de sequestro de buscas, redirecionando o usuário para resultados alterados.
Por operar como um backdoor em firmware, o potencial de dano é maior. A estrutura poderia ser adaptada para roubo de credenciais, interceptação de dados sensíveis e coleta de informações pessoais.
Em ambientes corporativos, tablets comprometidos podem se tornar vetores de entrada para redes internas. Para usuários comuns, o risco envolve contas bancárias, redes sociais, e-mails e dados privados.
A maior dificuldade está na remoção. Como o código malicioso está embutido no firmware, redefinir o dispositivo pode não resolver o problema.
Como se proteger contra o Keenadu no Android
A prevenção é a principal defesa contra ameaças como o Keenadu Android.
Algumas medidas recomendadas incluem:
Optar por dispositivos de fabricantes com histórico consistente de atualizações de segurança.
Pesquisar avaliações técnicas antes de adquirir tablets de baixo custo.
Evitar firmware não oficial ou modificações no sistema.
Utilizar soluções de segurança confiáveis para monitoramento de comportamento suspeito.
Acompanhar relatórios de segurança publicados por empresas especializadas.
Para empresas, é recomendável implementar políticas rígidas de aquisição de hardware e auditoria de dispositivos móveis.
O caso do Keenadu mostra que a segurança começa antes mesmo do primeiro uso do dispositivo.
Conclusão
O Keenadu Android representa um avanço preocupante na sofisticação das ameaças móveis em 2026.
Ao comprometer componentes centrais como Zygote, AKServer, AKClient e a biblioteca libandroid_runtime.so, o malware demonstra foco em persistência e controle profundo do sistema.
Para o Brasil, que figura entre os principais alvos, o alerta é claro.
A segurança em dispositivos Android não depende apenas de evitar aplicativos suspeitos. Ela exige atenção à procedência do hardware, à integridade das atualizações e à confiabilidade dos fabricantes.
O caso Keenadu reforça que a ameaça pode estar na base do sistema, exigindo uma postura mais crítica e informada por parte dos usuários.
