El peligro de las tablets Android baratas: descubren que varias marcas esconden un virus inyectado de fábrica (y Google ha tenido que intervenir)

Un caso de malware vuelve a poner el foco en el mercado de las tablets Android más económicas. Investigadores de Kaspersky han detectado Keenadu, una puerta trasera (backdoor) que puede llegar integrada en el firmware de varios modelos y marcas, es decir, antes de que el usuario instale su primera app o siquiera encienda el dispositivo.

Lo relevante no es solo que haya malware, sino dónde se esconde. Al estar incrustado en componentes del sistema, puede operar con una ventaja enorme frente a un troyano clásico y, además, resulta más difícil de eliminar. Ante ello, Google ha entrado en escena con un comunicado sobre Play Protect y la retirada de apps vinculadas al caso.

Un virus dentro del sistema, antes incluso de encender la tablet

Keenadu no se comporta como la típica app maliciosa que se cuela en una descarga dudosa. La infección ocurre en la fase de creación del firmware, cuando se enlaza código malicioso con una librería crítica del sistema, libandroid_runtime.so. Después, el implante se engancha al proceso Zygote, desde donde Android lanza la mayoría de apps.

Básicamente, Zygote es como el molde desde el que se fabrican las apps al arrancar. Si el malware vive ahí, puede colarse en el arranque de otras aplicaciones, observar comportamientos y ejecutar módulos sin necesitar permisos. Precisamente por ello, los investigadores lo tratan como un backdoor de alto impacto.

En el análisis técnico, Kaspersky detalla un mecanismo típico de estos implantes. Primero, descifra un payload dentro del propio sistema y lo escribe en el almacenamiento con un nombre diseñado para pasar desapercibido. Luego lo carga con herramientas del propio Android, y desde ahí descarga piezas adicionales desde servidores remotos, en función de qué apps haya instaladas o de qué objetivo busque el atacante.

Kaspersky describe que Keenadu se ha utilizado para fraude publicitario, convirtiendo dispositivos infectados en bots que generan clics, pero también advierte de variantes capaces de dar control amplio del dispositivo. Además, la investigación señala que se han visto cargas integradas no solo en firmware, sino también dentro de apps del sistema como el launcher o servicios específicos, lo que complica todavía más el diagnóstico.

Sobre las marcas afectadas, Kaspersky habla de varios fabricantes, pero la mayoría no se han hecho públicos. El caso que sí se ha confirmado con nombre y modelo es Alldocube y su iPlay 50 mini Pro, donde los investigadores hallaron el implante en distintas versiones de firmware. A partir de ahí, el patrón apunta a un problema de cadena de suministro, que suele golpear más a marcas pequeñas y dispositivos de bajo coste que a gamas altas.

Qué ha dicho Google y qué puede hacer el usuario

Tras la publicación del caso en Android Authority, Google envió un comunicado al medio, en el que afirma que los usuarios están protegidos automáticamente frente a versiones conocidas mediante Google Play Protect (si el dispositivo cuenta con Google Play Services) y que Play Protect puede avisar y deshabilitar apps asociadas al comportamiento de Keenadu, incluso si llegan desde fuera de Google Play. También indicó que las apps maliciosas identificadas en Play fueron retiradas.

Igualmente, para el usuario lo más sensato es seguir tres pasos básicos. Primero, actualizar el sistema y comprobar si hay firmware nuevo. Segundo, verificar el estado de Play Protect y si el dispositivo está certificado. Tercero, si hay síntomas persistentes o detecciones de seguridad, asumir que puede ser un problema de base y valorar soluciones más drásticas, como cambiar de ROM o, directamente, evitar ese modelo en entornos sensibles.