Home Chi Sono
Servizi
WordPress Sviluppo Web Server & Hosting Assistenza Tecnica Windows Android
Blog
Tutti gli Articoli WordPress Hosting Plesk Assistenza Computer Windows Android A.I.
Contatti

Come Verifico se il Mio Dispositivo Android è Infetto dal Malware Keenadu: La Guida per Rilevare e Rimuovere il Malware Preinstallato nel Firmware

Come Verifico se il Mio Dispositivo Android è Infetto dal Malware Keenadu: La Guida per Rilevare e Rimuovere il Malware Preinstallato nel Firmware

Nelle ultime settimane ho ricevuto diverse segnalazioni da colleghi e lettori preoccupati per una nuova minaccia Android che sta facendo molto parlare di sé nella comunità cybersecurity: si chiama Keenadu, ed è un malware che può arrivare già preinstallato nel firmware del dispositivo, ancor prima che lo accendiate per la prima volta. Non è la classica app malevola scaricata per errore: qui parliamo di una compromissione a livello di catena di produzione.

Ho deciso di approfondire l’argomento perché, nella mia esperienza come system administrator, so bene che le minacce più pericolose sono quelle che agiscono nell’ombra, con privilegi elevati e senza che l’utente se ne accorga. In questa guida vi mostro come capire se il vostro dispositivo Android è infetto, cosa fa esattamente Keenadu e quali sono le strategie reali per mitigarlo o rimuoverlo.

Se vi siete già occupati della sicurezza del vostro smartphone, magari seguendo la mia guida su come controllare i permessi delle app Android e rimuovere quelle pericolose, qui facciamo un salto di livello: Keenadu è qualcosa di molto più insidioso.

Cos’è il Malware Keenadu e Perché è Così Pericoloso

Keenadu è un backdoor Android scoperto dai ricercatori di Kaspersky a febbraio 2026. Questo malware può essere distribuito in più forme: preinstallato direttamente nel firmware dei dispositivi, nascosto dentro app di sistema, oppure scaricato da store ufficiali come Google Play. Al momento viene utilizzato principalmente per frodi pubblicitarie (ad fraud), ma alcune varianti permettono il controllo totale del dispositivo della vittima.

A febbraio 2026, le soluzioni Kaspersky hanno rilevato oltre 13.000 dispositivi infetti, con la maggior concentrazione in Russia, Giappone, Germania, Brasile e Paesi Bassi, ma la minaccia riguarda utenti di tutto il mondo.

La caratteristica più allarmante è che Keenadu, nella sua variante firmware, si integra nella libreria di sistema libandroid_runtime.so e si inietta nel processo Zygote, il processo padre responsabile dell’avvio di tutte le app Android. Questo significa che il malware viene caricato nello spazio di memoria di ogni applicazione lanciata sul dispositivo, aggirando completamente la sandbox e i normali controlli dei permessi.

Come Viene Distribuito Keenadu: I Vettori di Infezione

Nella mia analisi ho identificato tre vettori principali di distribuzione, e vi consiglio di verificarli tutti:

1. Firmware Preinstallato (Supply Chain Compromise)

La variante più pericolosa. Il codice malevolo viene inserito durante la fase di build del firmware, prima che il dispositivo arrivi al consumatore. I ricercatori hanno individuato l’infezione nei firmware di tablet Alldocube (incluso il modello iPlay 50 mini Pro), ma anche altri produttori sono coinvolti. Le immagini firmware infette portano firme digitali valide, il che suggerisce che la compromissione è avvenuta durante il processo produttivo, non tramite un server di aggiornamento hackerato.

2. App di Sistema Infette

Keenadu è stato trovato anche incorporato in app di sistema come il servizio di riconoscimento facciale, il launcher di sistema e il centro contenuti. Queste app hanno privilegi elevati rispetto alle normali applicazioni, permettendo al malware di installare APK in modo silenzioso senza alcuna notifica all’utente.

3. App Trojanizzate su Google Play e Store di Terze Parti

Kaspersky ha scoperto anche app infette su Google Play, in particolare app per smart camera domestiche con oltre 300.000 download, pubblicate dallo sviluppatore Hangzhou Denghong Technology Co., Ltd. Queste app, ora rimosse, lanciavano schede browser invisibili in background per navigare su siti senza il consenso dell’utente. App simili sono state trovate anche sullo store Xiaomi GetApps e come APK standalone.

Cosa Può Fare il Malware Keenadu sul Tuo Dispositivo

Vi elenco le capacità confermate dai ricercatori, e vi assicuro che sono preoccupanti:

  • Controllo remoto completo del dispositivo: nella variante firmware, gli attaccanti hanno accesso illimitato
  • Infezione di ogni app installata sul dispositivo tramite iniezione nel processo Zygote
  • Installazione silente di APK con tutti i permessi disponibili, senza interazione utente
  • Hijacking del motore di ricerca nel browser Chrome
  • Monitoraggio delle ricerche anche in modalità incognito di Chrome
  • Frode pubblicitaria: click automatici su annunci, monetizzazione delle installazioni
  • Esfiltrazione dati: messaggi, credenziali bancarie, posizione, media, dati biometrici del volto

Un dettaglio interessante: il malware non si attiva se la lingua del dispositivo è impostata su un dialetto cinese e il fuso orario corrisponde a quelli cinesi. Inoltre, non si avvia se Google Play Store e Google Play Services non sono installati. Questi comportamenti suggeriscono un’origine cinese della minaccia.

Come Verificare se il Tuo Dispositivo Android è Infetto da Keenadu

Ecco la procedura step-by-step che ho testato personalmente:

Step 1: Verifica se il Tuo Dispositivo è Play Protect Certified

Google ha confermato che i dispositivi con certificazione Play Protect sono automaticamente protetti dalle versioni note di Keenadu. Play Protect può avvisarti e disabilitare le app che mostrano comportamenti associati a Keenadu, anche se provengono da fonti esterne al Play Store. Per verificare:

  1. Apri Google Play Store
  2. Tocca la tua immagine profilo in alto a destra
  3. Seleziona Play Protect
  4. Verifica lo stato della certificazione e avvia una scansione manuale

Step 2: Installa una Soluzione di Sicurezza Affidabile

Dato che Keenadu opera a livello firmware, un antivirus standard potrebbe non essere sufficiente. Kaspersky, che ha scoperto la minaccia, raccomanda di utilizzare una soluzione di sicurezza mobile in grado di rilevare questo tipo specifico di malware. Altre soluzioni come Zimperium MTD offrono copertura zero-day contro i campioni di Keenadu rilevati.

Step 3: Controlla il Modello del Dispositivo e il Firmware

Se possedete un tablet Alldocube (in particolare il modello iPlay 50 mini Pro) o altri tablet economici di marca cinese, prestate particolare attenzione. L’infezione è stata confermata nel firmware Alldocube a partire dal 18 agosto 2023, e anche le versioni successive rilasciate dopo la segnalazione del problema contenevano ancora il backdoor.

Per verificare il vostro firmware:

  1. Andate in Impostazioni > Informazioni sul dispositivo
  2. Annotate modello, versione Android e numero build
  3. Cercate online se il vostro modello è nella lista dei dispositivi affetti

Step 4: Controlla le App Installate con ADB

Se avete dimestichezza con ADB (Android Debug Bridge), potete verificare le app di sistema sospette. Ecco i comandi che uso io:

adb shell pm list packages -s

Questo elenca tutti i pacchetti di sistema. Cercate nomi sospetti o app che non riconoscete. Se una soluzione di sicurezza ha identificato un pacchetto infetto, potete disabilitarlo con:

adb shell pm disable --user 0 nome.pacchetto.infetto

Attenzione: disabilitare app di sistema critiche può causare instabilità. Procedete solo se siete sicuri dell’identificazione.

Step 5: Monitora il Comportamento del Dispositivo

Nella mia esperienza, un dispositivo infetto da Keenadu può mostrare questi sintomi:

  • Consumo anomalo di batteria e dati mobili
  • Il motore di ricerca predefinito in Chrome cambia inspiegabilmente
  • App sconosciute che compaiono senza averle installate
  • Attività di rete in background anche con il dispositivo in standby
  • Rallentamenti inspiegabili durante l’uso normale

Se avete già seguito la mia guida su come configurare DNS privato e protezione tracciamento su Android, potreste notare un volume anomalo di richieste DNS bloccate: questo è un altro indicatore.

Come Rimuovere il Malware Keenadu da Android

Devo essere onesto: la rimozione di Keenadu non è semplice, e in alcuni casi è praticamente impossibile con gli strumenti standard. Ecco i diversi scenari:

Scenario 1: Keenadu nel Firmware (libandroid_runtime.so)

Questo è il caso più grave. Le versioni moderne di Android montano la partizione di sistema come read-only. Anche ipotizzando di poterla modificare, rimuovere la libreria infetta libandroid_runtime.so renderebbe il dispositivo non avviabile. Non è possibile eliminare la minaccia con strumenti standard di Android. La raccomandazione ufficiale è:

  • Cercare e installare un firmware pulito dal produttore
  • Se non disponibile, valutare seriamente la sostituzione del dispositivo
  • Contattare il produttore per chiedere un aggiornamento firmware correttivo

Scenario 2: Keenadu in un’App di Sistema

Se il loader Keenadu è incorporato in un’app di sistema (come il launcher o il servizio face recognition), non potete disinstallare l’app perché risiede nella partizione di sistema. Tuttavia potete:

  1. Trovare un’alternativa all’app infetta (es. un launcher di terze parti)
  2. Disabilitare l’app infetta via ADB: adb shell pm disable --user 0 nome.pacchetto
  3. Se non esistono alternative (es. servizio face recognition), evitare di usare quella funzionalità

Scenario 3: Keenadu in un’App Scaricata

Questo è il caso più semplice. Se la vostra soluzione di sicurezza ha rilevato un’app infetta da Keenadu che avete scaricato (non di sistema), vi basta disinstallarla seguendo le istruzioni fornite dall’antivirus. Dopo la rimozione, eseguite una scansione completa del dispositivo.

Il Collegamento con Altre Botnet Android: Triada, BADBOX e Vo1d

Un aspetto che mi ha colpito particolarmente è il legame tra Keenadu e altre grandi botnet Android. Kaspersky ha confermato connessioni dirette tra Keenadu e BADBOX, e ha stabilito legami anche con Triada e la botnet Vo1d. In alcuni casi, componenti BADBOX sono stati utilizzati per distribuire moduli Keenadu, suggerendo una possibile cooperazione tra piattaforme malware diverse.

Questo scenario ricorda quanto sia importante mantenere un approccio proattivo alla sicurezza. Se vi occupate anche di sicurezza server, vi consiglio di dare un’occhiata alla mia guida su come mettere in sicurezza WordPress da attacchi brute force e a quella su come configurare Fail2Ban su Plesk: la mentalità di difesa in profondità vale tanto lato server quanto lato mobile.

Consigli Pratici per Proteggersi dal Malware Keenadu

Ecco le raccomandazioni che do a chiunque mi chieda come difendersi:

  1. Evitate tablet e smartphone economici di marche sconosciute o con catene di fornitura poco trasparenti
  2. Verificate che il dispositivo sia Play Protect certified prima dell’acquisto
  3. Installate una soluzione di sicurezza mobile affidabile e tenetela aggiornata
  4. Controllate regolarmente gli aggiornamenti firmware e applicateli tempestivamente
  5. Non installate APK da fonti non verificate
  6. Monitorate il comportamento del dispositivo: consumo anomalo di batteria, dati e app sconosciute
  7. Configurate DNS privato per bloccare comunicazioni verso server C2 malevoli

Ricordate anche di tenere sotto controllo lo spazio di archiviazione e le app installate. Nella mia guida su come liberare spazio su Android senza perdere dati trovate procedure utili anche per identificare app sospette che occupano risorse in modo anomalo.

FAQ

Il malware Keenadu può infettare il mio smartphone o solo i tablet?

La maggior parte delle infezioni firmware confermate riguarda tablet economici Android, in particolare modelli Alldocube. Tuttavia, Keenadu è stato trovato anche in app su Google Play e altri store, quindi potenzialmente qualsiasi dispositivo Android può essere colpito dalla variante app. Assicuratevi di avere Play Protect attivo e una soluzione di sicurezza installata.

Posso rimuovere Keenadu con un factory reset?

No, se Keenadu è incorporato nel firmware (variante libandroid_runtime.so), un factory reset non lo rimuoverà perché il malware risiede nella partizione di sistema, che non viene toccata dal ripristino. L’unica soluzione è flashare un firmware completamente pulito, se disponibile dal produttore.

Come faccio a sapere se il mio dispositivo Alldocube è infetto?

Installate una soluzione di sicurezza come Kaspersky Mobile Security ed eseguite una scansione completa. Se possedete un Alldocube iPlay 50 mini Pro o modelli simili, contattate il supporto del produttore per verificare la disponibilità di un firmware aggiornato e pulito. Kaspersky ha confermato che anche versioni firmware successive alla segnalazione contenevano ancora il backdoor.

Google Play Protect è sufficiente per proteggermi da Keenadu?

Google ha dichiarato che Play Protect protegge automaticamente dalle versioni note di Keenadu e può avvisare l’utente anche per app provenienti da fonti esterne al Play Store. Tuttavia, per la variante firmware, Play Protect potrebbe non essere sufficiente da solo. Vi consiglio di affiancare un’app antivirus dedicata.

Keenadu può rubare le mie credenziali bancarie?

Sì, nella variante firmware più avanzata, Keenadu ha accesso a tutte le informazioni sul dispositivo: messaggi, credenziali bancarie, posizione, media e persino le ricerche effettuate in modalità incognito su Chrome. Se sospettate un’infezione, cambiate immediatamente le password dei vostri account sensibili da un dispositivo sicuro.

Conclusione: Il Malware Keenadu Cambia le Regole della Sicurezza Android

La scoperta del malware Keenadu ci ricorda che la sicurezza Android non è più solo una questione di “non scaricare app sospette”. Quando la minaccia arriva preinstallata nel firmware, direttamente dalla catena di produzione, ci troviamo davanti a uno scenario completamente nuovo che richiede consapevolezza e strumenti adeguati.

Nella mia esperienza, la difesa migliore è un approccio multilivello: dispositivi certificati, soluzioni di sicurezza aggiornate, monitoraggio costante e la consapevolezza che anche un dispositivo nuovo può essere compromesso. Se state configurando il vostro Android per la massima sicurezza e produttività, date un’occhiata anche alla mia guida su come configurare Android per la massima produttività con Tasker e Routine Samsung.

Avete riscontrato comportamenti sospetti sul vostro tablet o smartphone Android? Avete trovato Keenadu sul vostro dispositivo? Raccontatemi la vostra esperienza nei commenti, sono curioso di sapere quanto sia diffuso il problema in Italia.

Share: