O malware conseguiu infectar milhares de smartphones Android antes mesmo de saírem da fábrica. Chamado de Keenadu, o vírus transforma telefones em máquinas para fraudes publicitárias. O software também é capaz de roubar dados de um smartphone.
Um novo vírus foi descoberto em a cadeia de abastecimento muitos smartphones Android. Descoberto pelos pesquisadores da Kaspersky, o malware Keenadu foi identificado no código da sobreposição do Android de diversas marcas de telefones. Na verdade, o malware vem pré-instalado de fábrica nos smartphones.
Espelhando vírus como Triada, Keenadu é integrado diretamente no firmware do dispositivo, em seu sistema operacional original, durante uma etapa da cadeia de fabricação. Assim que o smartphone é ligado pela primeira vez, o malware é ativado e ataca suas vítimas.
“Como mostra nossa pesquisa mais recente, o malware pré-instalado é um problema significativo em muitos dispositivos Android. Sem qualquer ação por parte do usuário, um dispositivo pode ser infectado na primeira utilização. É crucial que os usuários estejam cientes desse risco e utilizem soluções de segurança capazes de detectar esse tipo de malware.”explica Dmitry Kalinin, pesquisador da Kaspersky.
Leia também: Google revela que um bilhão de smartphones Android são vulneráveis a ataques cibernéticos
Fraude publicitária e roubo de dados
Uma vez ativado, o vírus atuará como um backdoor. Ele primeiro infectará todos os aplicativos instalados no dispositivo e instalará novos rapidamente por meio de arquivos APK recuperados online. Não é de surpreender que esses aplicativos fraudulentos se concedam uma montanha de permissões do Android em smartphones, sem que o usuário seja notificado.
Malware Android que não passa pelos métodos tradicionais de infecção.
Keenadu foi identificado por meio de três vetores distintos:
– Pré-instalado no firmware
– Oculto em aplicativos do sistema (desbloqueio facial, iniciador)
– Disfarçado em lojas de aplicativosMais de 13.000 dispositivos… pic.twitter.com/k4YpXkjVjg
— Kaspersky França (@kasperskyfrance) 17 de fevereiro de 2026
Por enquanto, os cibercriminosos estão explorando principalmente malware para fraude publicitária. Ele foi projetado para transformar telefones em bots que clicam em anúncios, gerando rapidamente receitas publicitárias fraudulentas. Tecnicamente, nada impede que os hackers mudem de opinião e voltem ao roubo massivo de dados.
Segundo investigações realizadas pela Kaspersky, o vírus Keenadu é de facto capaz de desviar uma grande quantidade de informação, incluindo mensagens, identificadores bancários, a localização GPS do dispositivo, ou mesmo todas as pesquisas realizadas no Chrome, mesmo na navegação privada. O modo de navegação anônima, que supostamente protege sua privacidade, não tem utilidade contra Keenadu.
Leia também: Milhões de smartphones foram transformados em “fábricas de publicidade”
Malware que também se esconde na Play Store
A Kaspersky destaca que o Keenadu está escondido em um aplicativo do sistema de desbloqueio facial e no launcher, interface que exibe a tela inicial do Android. Trata-se de uma decisão estratégica que evita que o usuário desinstale o componente que contém o vírus, mesmo sem perceber. A exclusão equivale a privar-se das principais funções do smartphone. O vírus também foi analisado detalhadamente pelos pesquisadores do Zimperium. De acordo com suas investigações, o malware também é implantado diretamente no “Processo pai do Android Zygote”que está em “a origem do lançamento de todos os aplicativos”.
“Ao manter uma posição firme no nível do firmware, os cibercriminosos podem monitorar atividades, manipular aplicativos e manter acesso persistente aos sistemas corporativos sem qualquer interação do usuário.”explica Nico Chiaraviglio da Zimperium.
O malware não infecta smartphones apenas no momento de seu design. O malware também se esconde na Play Store. Três aplicações dedicadas a câmaras de vigilância conectadas, nomeadamente Eyeplus, Ziicam e Eoolii, escondem de facto o vírus. Estas aplicações combinam mais de 300.000 downloads na plataforma Google. Desde então, esses aplicativos foram removidos da loja. O Google confirma que o Play Protect, solução de segurança padrão do Android, agora bloqueia todas as variantes conhecidas do malware.
“Os usuários do Android são automaticamente protegidos contra variantes conhecidas deste malware com o Google Play Protect, ativado por padrão em dispositivos com Google Play Services. O Google Play Protect pode alertar o usuário e desativar aplicativos que exibem comportamento associado ao Keenadu, inclusive quando foram instalados de fontes de terceiros fora da Play Store. Como precaução, o Google recomenda que os usuários verifiquem se seu dispositivo é certificado pelo Play Protect »explica o Google para Computador bipando.
Um vírus que vem da China
Os especialistas da Kaspersky notaram que o malware se autodesativa se o idioma do sistema corresponder a um dialeto chinês ou se o fuso horário estiver definido para uma das zonas da China. Antes de agir, o malware também verifica a presença dos serviços Google Play, que estão ausentes nos telefones Android chineses. É por isso que os investigadores acreditam que o vírus é provavelmente de origem chinesa.
Ao multiplicar os vetores de ataque, o vírus conseguiu hackear mais de 13.000 smartphones em todo o mundo. A maioria das vítimas são na Rússia, Japão, Alemanha, Brasil e Holanda. O malware tem como alvo principalmente dispositivos vendidos por marcas chinesas de baixo custo, disponível na Amazon e AliExpress. Estas marcas utilizam intermediários pouco conhecidos, sem verificações de segurança, para reduzir custos.
A Kaspersky cita em particular a marca Alldocube, que comercializa por exemplo o iPlay 50 mini Pro (T811M). Os investigadores russos notificaram todas as marcas afetadas, mas não quiseram divulgar publicamente a lista de todas as empresas afetadas.
“Os fabricantes provavelmente não estavam cientes do comprometimento da cadeia de fornecimento que permitiu que Keenadu se infiltrasse nos dispositivos porque o malware imitava componentes legítimos do sistema. Portanto, é essencial controlar cada etapa do processo de produção para garantir que o firmware dos dispositivos não esteja infectado”relata o pesquisador Dmitry Kalinin.
Como se livrar do malware Keenadu?
Como o Keenadu vem pré-instalado nos smartphones no momento da fabricação, é muito difícil se livrar do malware. Métodos comuns, como redefinição de fábrica ou desinstalação de aplicativos corrompidos, não funcionam. Os pesquisadores aconselham primeiro verificar se uma atualização oficial do sistema está disponível e, em seguida, executar uma verificação completa com uma solução de segurança. Se for o launcher que está comprometido, a Kaspersky recomenda desativá-lo e instalar uma alternativa, como Nova Launcher, Niagara Launcher ou Lawnchair.
Muitas vezes, a solução mais eficaz continua sendo reinstalar completamente um sistema operacional saudável e livre de vírus no smartphone. Essa prática, radical mas eficiente, é chamada de firmware “flashing”. Se este não for o seu caso, a Kaspersky simplesmente recomenda trocar de smartphone. É sempre melhor investir em um novo telefone do que expor todos os seus dados, incluindo dados bancários, a cibercriminosos.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.