Keenadu è un malware Android integrato nel firmware di alcuni tablet. Analisi tecnica, rischi per utenti e aziende e misure di difesa.
Siamo abituati a pensare al malware come a qualcosa che si installa dopo un errore dell’utente. D’altronde i vettori d’infezione non mancano, come gli allegati malevoli, le finte applicazioni scaricate da fonti non ufficiali, o gli aggiornamenti sospetti. Tuttavia, esistono varianti che rimescolano le carte in tavola e arrivano già preinstallate nei nostri dispositivi.
Il nome di questa nuova minaccia? Keenadu. Parliamo di un malware preinstallato in dispositivi Android a basso costo, attraverso una backdoor integrata a livello di firmware. In altre parole, si tratta di una minaccia che non agisce come una semplice applicazione, ma come un componente di sistema vero e proprio.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è Keenadu
Keenadu è un malware Android identificato dai ricercatori di Kaspersky il 17 febbraio 2026. Come accennato in fase di introduzione, si tratta a conti fatti di una backdoor multifunzionale integrata nel firmware di alcuni tablet. A differenza delle comuni applicazioni malevole, non viene installato dall’utente dopo l’acquisto, ma risulta già presente nel sistema al momento della prima accensione del dispositivo.
Dal punto di vista tecnico, Keenadu si comporta come un modulo con privilegi elevati, in grado di interagire direttamente con componenti di sistema. Gli alti privilegi gli consentono di operare con maggiore libertà rispetto a un’applicazione tradizionale, potendo così eludere controlli di sicurezza che normalmente bloccherebbero comportamenti anomali.
Stando alle analisi di Kaspersky, il malware è in grado di installare ulteriori applicazioni, visualizzare contenuti pubblicitari invasivi e raccogliere informazioni dal dispositivo compromesso. Piuttosto che un semplice adware, come si potrebbe pensare, Keenadu risulta essere una piattaforma capace di estendere le proprie funzionalità e attivabile da remoto attraverso un’infrastruttura di comando e controllo.
Come funziona Keenadu
Per comprendere al meglio la pericolosità e la portata di Keenadu, procederemo a illustrare il suo funzionamento attraverso una simulazione di attacco, suddivisa in varie fasi.
Integrazione nel firmware di sistema
L’attacco di Keenadu non parte dall’utente, ma direttamente dalla supply chain. La sua backdoor viene installata durante la fase di build della ROM Android destinata al dispositivo. Può essere installata come app di sistema, come servizio aggiuntivo o come componente associato a processi di inizializzazione. In questo modo, Keenadu parte direttamente dal contesto trusted del dispositivo, con privilegi che un’app normale non potrebbe ottenere senza rooting o exploit.
Bootstrap del componente malevolo
Alla prima accensione, Android esegue la sequenza di inizializzazione e avvia i servizi predefiniti. Keenadu si attiva e agisce come componente persistente. Si registra per partire automaticamente, tipicamente agganciandosi a eventi di sistema come aggiornamenti, o cambi di stato della rete. Superata questa fase, l’utente non si accorgerà mai di nulla, perché sono assenti sia l’icona sospetta, che le richieste di permessi di accesso tipiche delle app Android.
Analisi preliminare del dispositivo
Prima di eseguire qualsiasi azione, Keenadu analizza il dispositivo, in modo da ottenere un profilo tecnico dettagliato. In particolare questi identifica:
- Modello e build di sistema (brand, versione OS, patch level);
- Parametri di rete (carrier, IP, lingua/area);
- Stato del dispositivo (debug attivo, presenza di strumenti di sicurezza, configurazioni anomale).
In questo modo, il malware è in grado di capire quanto il suo obiettivo sia vulnerabile e scegliere i moduli di attacco adeguati. Riducendo crash e anomalie evidenti, il suo attacco diventa completamente invisibile agli occhi dell’utente.
Comunicazione con l’infrastruttura C2
Definito il profilo tecnico, Keenadu stabilisce una connessione con i server Command & Control (C2) controllati dagli attaccanti, in attesa di loro istruzioni. Qui la prassi è quella tipica di ogni attacco basato su backdoor: invio di informazioni, scambio di comandi e ritorno di risultati effettivi. Tuttavia, qui sta anche un’ulteriore pericolosità del malware, dato che non necessita di mantenere una sessione continua sempre attiva. Per mantenere basso il consumo di risorse di sistema, Keenadu opera in precise finestre temporali, quando l’utente non se ne accorge.
Attivazione delle funzioni
Una volta che i moduli sono stati installati, ha inizio l’attacco. Il criminale invia comandi specifici che attivano le funzionalità di Keenadu. In base alle analisi condotte dai ricercatori di Kaspersky si è scoperto che queste sono:
- Routine di ad-fraud (caricamento di contenuti pubblicitari, reindirizzamenti, chiamate a endpoint pubblicitari);
- Download e deploy di componenti aggiuntivi;
- Raccolta di dati sensibili dell’utente.
Tutto questo avviene a seconda delle necessità del gruppo criminale che opera alle sue spalle. In questo modo, Keenadu può trasformarsi in infostealer, proxy dropper, o semplice adware. Tramite reinderizzamenti forzati a pagine pubblicitarie e a pop up aggressivi, i criminali possono monetizzare attraverso le visite e le visualizzazioni di questi contenuti. In più, possono profilare l’utente e imbastire campagne di phishing sempre più efficaci.
Persistenza
Il punto chiave di Keenadu è che la sua infezione non vive come app rimovibile dall’utente. Se il componente è nel firmware o nella partizione di sistema, un reset del dispositivo non basta. La sua persistenza non dipende da trucchi di UI, ma dalla posizione del componente nella catena di avvio e nel software di base. Per questo il problema è più simile a un difetto di fabbrica, che a una classica infezione post-installazione.
Rischi per utenti e aziende
In base a quanto discusso, si evince che Keenadu non è un comune malware, ma qualcosa che colpisce gli acquirenti direttamente dalla supply chain. Quando una compromissione avviene a livello firmware, l’utente non può più considerare il dispositivo come un prodotto sicuro e affidabile. Anche in assenza di comportamenti evidenti, il traffico generato e le operazioni eseguite in background espongono dati personali, credenziali e informazioni di navigazione.
Per l’utente privato si tratta di una profilazione forzata, in cui si arriva anche all’installazione aggiuntiva e silenziosa di applicazioni non richieste. Nel peggiore dei casi, il dispositivo stesso può trasformarsi in un veicolo di infezione per ulteriori dispositivi limitrofi. Tutto grazie ai moduli aggiuntivi che possono essere raffinati e potenziati nel tempo.
In ambito aziendale, le cose sono anche peggiori. Un tablet compromesso può essere utilizzato per accedere a reti Wi-Fi interne, applicazioni corporate o servizi cloud. Anche senza un exploit diretto, la presenza di un componente con privilegi elevati introduce un vettore persistente che sfugge ai normali controlli di sicurezza applicativa. Questo rende Keenadu un problema non solo per il singolo consumatore, ma per tutta la supply chain tecnologica.
Come difendersi da dispositivi già compromessi
Com’è facile intuire, la nostra prevenzione deve partire già da prima che accendiamo un dispositivo Android a basso costo. Sebbene il consiglio principale sia sempre quello di evitare l’acquisto di certi prodotti, esistono comunque una serie di consigli pratici rivolti a casi in cui non se n’è potuto fare a meno. Vediamoli insieme.
- Acquistare sempre dispositivi da canali ufficiali e vendor certificati.
Evitare marketplace non verificati o lotti di provenienza incerta riduce il rischio di dispositivi alterati lungo la supply chain. È preferibile scegliere produttori con una politica trasparente sugli aggiornamenti firmware. - Verificare la presenza di aggiornamenti firmware ufficiali.
Dopo l’acquisto, controllare immediatamente la disponibilità di update di sistema. In alcuni casi, il produttore può rilasciare patch o versioni corrette del firmware. - Utilizzare soluzioni Mobile Threat Defense (MTD).
In ambito aziendale, strumenti dedicati alla protezione mobile possono individuare comportamenti anomali a livello di rete e sistema, anche quando l’infezione non è una semplice app utente. - Segmentare i dispositivi mobili dalle reti critiche.
Tablet e smartphone dovrebbero essere isolati da infrastrutture sensibili. La segmentazione riduce il rischio che un device compromesso diventi punto di accesso alla rete interna. - Monitorare traffico e comportamenti anomali.
Analisi del traffico DNS, connessioni verso domini sospetti e consumo anomalo di dati possono rivelare la presenza di comunicazioni verso server di comando e controllo.
In conclusione
Keenadu è la nuova dimostrazione che le minacce del nostro decennio non riguardano più soltanto ciò che l’utente installa, ma anche ciò che riceve già installato. Quando un malware è integrato nel firmware, il problema smette di essere un errore individuale e diventa una questione di filiera tecnologica.
Per gli utenti e le aziende non basta proteggere applicazioni e credenziali, ma occorre interrogarsi anche sull’origine e sull’integrità dei dispositivi stessi. La sicurezza deve partire dalla catena di produzione e distribuzione. Ignorare questo aspetto significa lasciare aperta una porta che non dovrebbe nemmeno esistere.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.