{"id":1299,"date":"2026-02-21T20:00:00","date_gmt":"2026-02-21T19:00:00","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/malware-keenadu-android-rilevare-rimuovere-firmware\/"},"modified":"2026-02-21T20:00:00","modified_gmt":"2026-02-21T19:00:00","slug":"malware-keenadu-android-rilevare-rimuovere-firmware","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/malware-keenadu-android-rilevare-rimuovere-firmware\/","title":{"rendered":"Come Verifico se il Mio Dispositivo Android \u00e8 Infetto dal Malware Keenadu: La Guida per Rilevare e Rimuovere il Malware Preinstallato nel Firmware"},"content":{"rendered":"<p>Nelle ultime settimane ho ricevuto diverse segnalazioni da colleghi e lettori preoccupati per una nuova minaccia Android che sta facendo molto parlare di s\u00e9 nella comunit\u00e0 cybersecurity: si chiama <strong>Keenadu<\/strong>, ed \u00e8 un malware che pu\u00f2 arrivare <em>gi\u00e0 preinstallato nel firmware<\/em> del dispositivo, ancor prima che lo accendiate per la prima volta. Non \u00e8 la classica app malevola scaricata per errore: qui parliamo di una compromissione a livello di catena di produzione.<\/p>\n<p>Ho deciso di approfondire l&#8217;argomento perch\u00e9, nella mia esperienza come system administrator, so bene che le minacce pi\u00f9 pericolose sono quelle che agiscono nell&#8217;ombra, con privilegi elevati e senza che l&#8217;utente se ne accorga. In questa guida vi mostro come capire se il vostro dispositivo Android \u00e8 infetto, cosa fa esattamente Keenadu e quali sono le strategie reali per mitigarlo o rimuoverlo.<\/p>\n<p>Se vi siete gi\u00e0 occupati della sicurezza del vostro smartphone, magari seguendo la mia guida su <a href=\"https:\/\/darioiannascoli.it\/blog\/controllo-permessi-app-android-rimuovere-pericolose\/\">come controllare i permessi delle app Android e rimuovere quelle pericolose<\/a>, qui facciamo un salto di livello: Keenadu \u00e8 qualcosa di molto pi\u00f9 insidioso.<\/p>\n<h2>Cos&#8217;\u00e8 il Malware Keenadu e Perch\u00e9 \u00e8 Cos\u00ec Pericoloso<\/h2>\n<p>Keenadu \u00e8 un <strong>backdoor Android<\/strong> scoperto dai ricercatori di Kaspersky a febbraio 2026. Questo malware pu\u00f2 essere distribuito in pi\u00f9 forme: preinstallato direttamente nel firmware dei dispositivi, nascosto dentro app di sistema, oppure scaricato da store ufficiali come Google Play. Al momento viene utilizzato principalmente per frodi pubblicitarie (ad fraud), ma alcune varianti permettono il <strong>controllo totale<\/strong> del dispositivo della vittima.<\/p>\n<p>A febbraio 2026, le soluzioni Kaspersky hanno rilevato oltre <strong>13.000 dispositivi infetti<\/strong>, con la maggior concentrazione in Russia, Giappone, Germania, Brasile e Paesi Bassi, ma la minaccia riguarda utenti di tutto il mondo.<\/p>\n<p>La caratteristica pi\u00f9 allarmante \u00e8 che Keenadu, nella sua variante firmware, si integra nella libreria di sistema <em>libandroid_runtime.so<\/em> e si inietta nel processo <strong>Zygote<\/strong>, il processo padre responsabile dell&#8217;avvio di tutte le app Android. Questo significa che il malware viene caricato nello spazio di memoria di ogni applicazione lanciata sul dispositivo, aggirando completamente la sandbox e i normali controlli dei permessi.<\/p>\n<h2>Come Viene Distribuito Keenadu: I Vettori di Infezione<\/h2>\n<p>Nella mia analisi ho identificato tre vettori principali di distribuzione, e vi consiglio di verificarli tutti:<\/p>\n<h3>1. Firmware Preinstallato (Supply Chain Compromise)<\/h3>\n<p>La variante pi\u00f9 pericolosa. Il codice malevolo viene inserito durante la fase di build del firmware, prima che il dispositivo arrivi al consumatore. I ricercatori hanno individuato l&#8217;infezione nei firmware di tablet <strong>Alldocube<\/strong> (incluso il modello iPlay 50 mini Pro), ma anche altri produttori sono coinvolti. Le immagini firmware infette portano firme digitali valide, il che suggerisce che la compromissione \u00e8 avvenuta durante il processo produttivo, non tramite un server di aggiornamento hackerato.<\/p>\n<h3>2. App di Sistema Infette<\/h3>\n<p>Keenadu \u00e8 stato trovato anche incorporato in app di sistema come il <strong>servizio di riconoscimento facciale<\/strong>, il <em>launcher<\/em> di sistema e il centro contenuti. Queste app hanno privilegi elevati rispetto alle normali applicazioni, permettendo al malware di installare APK in modo silenzioso senza alcuna notifica all&#8217;utente.<\/p>\n<h3>3. App Trojanizzate su Google Play e Store di Terze Parti<\/h3>\n<p>Kaspersky ha scoperto anche app infette su <strong>Google Play<\/strong>, in particolare app per smart camera domestiche con oltre 300.000 download, pubblicate dallo sviluppatore Hangzhou Denghong Technology Co., Ltd. Queste app, ora rimosse, lanciavano schede browser invisibili in background per navigare su siti senza il consenso dell&#8217;utente. App simili sono state trovate anche sullo store Xiaomi GetApps e come APK standalone.<\/p>\n<h2>Cosa Pu\u00f2 Fare il Malware Keenadu sul Tuo Dispositivo<\/h2>\n<p>Vi elenco le capacit\u00e0 confermate dai ricercatori, e vi assicuro che sono preoccupanti:<\/p>\n<ul>\n<li><strong>Controllo remoto completo<\/strong> del dispositivo: nella variante firmware, gli attaccanti hanno accesso illimitato<\/li>\n<li><strong>Infezione di ogni app<\/strong> installata sul dispositivo tramite iniezione nel processo Zygote<\/li>\n<li><strong>Installazione silente di APK<\/strong> con tutti i permessi disponibili, senza interazione utente<\/li>\n<li><strong>Hijacking del motore di ricerca<\/strong> nel browser Chrome<\/li>\n<li><strong>Monitoraggio delle ricerche<\/strong> anche in modalit\u00e0 incognito di Chrome<\/li>\n<li><strong>Frode pubblicitaria<\/strong>: click automatici su annunci, monetizzazione delle installazioni<\/li>\n<li><strong>Esfiltrazione dati<\/strong>: messaggi, credenziali bancarie, posizione, media, dati biometrici del volto<\/li>\n<\/ul>\n<p>Un dettaglio interessante: il malware <strong>non si attiva<\/strong> se la lingua del dispositivo \u00e8 impostata su un dialetto cinese e il fuso orario corrisponde a quelli cinesi. Inoltre, non si avvia se Google Play Store e Google Play Services non sono installati. Questi comportamenti suggeriscono un&#8217;origine cinese della minaccia.<\/p>\n<h2>Come Verificare se il Tuo Dispositivo Android \u00e8 Infetto da Keenadu<\/h2>\n<p>Ecco la procedura step-by-step che ho testato personalmente:<\/p>\n<h3>Step 1: Verifica se il Tuo Dispositivo \u00e8 Play Protect Certified<\/h3>\n<p>Google ha confermato che i dispositivi con certificazione <strong>Play Protect<\/strong> sono automaticamente protetti dalle versioni note di Keenadu. Play Protect pu\u00f2 avvisarti e disabilitare le app che mostrano comportamenti associati a Keenadu, anche se provengono da fonti esterne al Play Store. Per verificare:<\/p>\n<ol>\n<li>Apri <strong>Google Play Store<\/strong><\/li>\n<li>Tocca la tua immagine profilo in alto a destra<\/li>\n<li>Seleziona <strong>Play Protect<\/strong><\/li>\n<li>Verifica lo stato della certificazione e avvia una scansione manuale<\/li>\n<\/ol>\n<h3>Step 2: Installa una Soluzione di Sicurezza Affidabile<\/h3>\n<p>Dato che Keenadu opera a livello firmware, un antivirus standard potrebbe non essere sufficiente. Kaspersky, che ha scoperto la minaccia, raccomanda di utilizzare una soluzione di sicurezza mobile in grado di rilevare questo tipo specifico di malware. Altre soluzioni come Zimperium MTD offrono copertura zero-day contro i campioni di Keenadu rilevati.<\/p>\n<h3>Step 3: Controlla il Modello del Dispositivo e il Firmware<\/h3>\n<p>Se possedete un tablet <strong>Alldocube<\/strong> (in particolare il modello iPlay 50 mini Pro) o altri tablet economici di marca cinese, prestate particolare attenzione. L&#8217;infezione \u00e8 stata confermata nel firmware Alldocube a partire dal 18 agosto 2023, e anche le versioni successive rilasciate dopo la segnalazione del problema contenevano ancora il backdoor.<\/p>\n<p>Per verificare il vostro firmware:<\/p>\n<ol>\n<li>Andate in <strong>Impostazioni &gt; Informazioni sul dispositivo<\/strong><\/li>\n<li>Annotate modello, versione Android e numero build<\/li>\n<li>Cercate online se il vostro modello \u00e8 nella lista dei dispositivi affetti<\/li>\n<\/ol>\n<h3>Step 4: Controlla le App Installate con ADB<\/h3>\n<p>Se avete dimestichezza con <em>ADB<\/em> (Android Debug Bridge), potete verificare le app di sistema sospette. Ecco i comandi che uso io:<\/p>\n<pre><code>adb shell pm list packages -s<\/code><\/pre>\n<p>Questo elenca tutti i pacchetti di sistema. Cercate nomi sospetti o app che non riconoscete. Se una soluzione di sicurezza ha identificato un pacchetto infetto, potete disabilitarlo con:<\/p>\n<pre><code>adb shell pm disable --user 0 nome.pacchetto.infetto<\/code><\/pre>\n<p>Attenzione: disabilitare app di sistema critiche pu\u00f2 causare instabilit\u00e0. Procedete solo se siete sicuri dell&#8217;identificazione.<\/p>\n<h3>Step 5: Monitora il Comportamento del Dispositivo<\/h3>\n<p>Nella mia esperienza, un dispositivo infetto da Keenadu pu\u00f2 mostrare questi sintomi:<\/p>\n<ul>\n<li>Consumo anomalo di batteria e dati mobili<\/li>\n<li>Il motore di ricerca predefinito in Chrome cambia inspiegabilmente<\/li>\n<li>App sconosciute che compaiono senza averle installate<\/li>\n<li>Attivit\u00e0 di rete in background anche con il dispositivo in standby<\/li>\n<li>Rallentamenti inspiegabili durante l&#8217;uso normale<\/li>\n<\/ul>\n<p>Se avete gi\u00e0 seguito la mia guida su <a href=\"https:\/\/darioiannascoli.it\/blog\/dns-privato-protezione-tracciamento-android-privacy\/\">come configurare DNS privato e protezione tracciamento su Android<\/a>, potreste notare un volume anomalo di richieste DNS bloccate: questo \u00e8 un altro indicatore.<\/p>\n<h2>Come Rimuovere il Malware Keenadu da Android<\/h2>\n<p>Devo essere onesto: la rimozione di Keenadu non \u00e8 semplice, e in alcuni casi \u00e8 praticamente impossibile con gli strumenti standard. Ecco i diversi scenari:<\/p>\n<h3>Scenario 1: Keenadu nel Firmware (libandroid_runtime.so)<\/h3>\n<p>Questo \u00e8 il caso pi\u00f9 grave. Le versioni moderne di Android montano la partizione di sistema come <em>read-only<\/em>. Anche ipotizzando di poterla modificare, rimuovere la libreria infetta <em>libandroid_runtime.so<\/em> renderebbe il dispositivo non avviabile. <strong>Non \u00e8 possibile eliminare la minaccia con strumenti standard di Android<\/strong>. La raccomandazione ufficiale \u00e8:<\/p>\n<ul>\n<li>Cercare e installare un <strong>firmware pulito<\/strong> dal produttore<\/li>\n<li>Se non disponibile, valutare seriamente la <strong>sostituzione del dispositivo<\/strong><\/li>\n<li>Contattare il produttore per chiedere un aggiornamento firmware correttivo<\/li>\n<\/ul>\n<h3>Scenario 2: Keenadu in un&#8217;App di Sistema<\/h3>\n<p>Se il loader Keenadu \u00e8 incorporato in un&#8217;app di sistema (come il launcher o il servizio face recognition), non potete disinstallare l&#8217;app perch\u00e9 risiede nella partizione di sistema. Tuttavia potete:<\/p>\n<ol>\n<li><strong>Trovare un&#8217;alternativa<\/strong> all&#8217;app infetta (es. un launcher di terze parti)<\/li>\n<li><strong>Disabilitare l&#8217;app infetta via ADB<\/strong>: <code>adb shell pm disable --user 0 nome.pacchetto<\/code><\/li>\n<li>Se non esistono alternative (es. servizio face recognition), <strong>evitare di usare quella funzionalit\u00e0<\/strong><\/li>\n<\/ol>\n<h3>Scenario 3: Keenadu in un&#8217;App Scaricata<\/h3>\n<p>Questo \u00e8 il caso pi\u00f9 semplice. Se la vostra soluzione di sicurezza ha rilevato un&#8217;app infetta da Keenadu che avete scaricato (non di sistema), vi basta <strong>disinstallarla<\/strong> seguendo le istruzioni fornite dall&#8217;antivirus. Dopo la rimozione, eseguite una scansione completa del dispositivo.<\/p>\n<h2>Il Collegamento con Altre Botnet Android: Triada, BADBOX e Vo1d<\/h2>\n<p>Un aspetto che mi ha colpito particolarmente \u00e8 il legame tra Keenadu e altre grandi botnet Android. Kaspersky ha confermato connessioni dirette tra Keenadu e BADBOX, e ha stabilito legami anche con Triada e la botnet Vo1d. In alcuni casi, componenti BADBOX sono stati utilizzati per distribuire moduli Keenadu, suggerendo una possibile cooperazione tra piattaforme malware diverse.<\/p>\n<p>Questo scenario ricorda quanto sia importante mantenere un approccio proattivo alla sicurezza. Se vi occupate anche di sicurezza server, vi consiglio di dare un&#8217;occhiata alla mia guida su <a href=\"https:\/\/darioiannascoli.it\/blog\/sicurezza-wordpress-brute-force\/\">come mettere in sicurezza WordPress da attacchi brute force<\/a> e a quella su <a href=\"https:\/\/darioiannascoli.it\/blog\/configurare-fail2ban-plesk\/\">come configurare Fail2Ban su Plesk<\/a>: la mentalit\u00e0 di difesa in profondit\u00e0 vale tanto lato server quanto lato mobile.<\/p>\n<h2>Consigli Pratici per Proteggersi dal Malware Keenadu<\/h2>\n<p>Ecco le raccomandazioni che do a chiunque mi chieda come difendersi:<\/p>\n<ol>\n<li><strong>Evitate tablet e smartphone economici<\/strong> di marche sconosciute o con catene di fornitura poco trasparenti<\/li>\n<li><strong>Verificate che il dispositivo sia Play Protect certified<\/strong> prima dell&#8217;acquisto<\/li>\n<li><strong>Installate una soluzione di sicurezza mobile<\/strong> affidabile e tenetela aggiornata<\/li>\n<li><strong>Controllate regolarmente gli aggiornamenti firmware<\/strong> e applicateli tempestivamente<\/li>\n<li><strong>Non installate APK<\/strong> da fonti non verificate<\/li>\n<li><strong>Monitorate il comportamento del dispositivo<\/strong>: consumo anomalo di batteria, dati e app sconosciute<\/li>\n<li><strong>Configurate DNS privato<\/strong> per bloccare comunicazioni verso server C2 malevoli<\/li>\n<\/ol>\n<p>Ricordate anche di tenere sotto controllo lo spazio di archiviazione e le app installate. Nella mia guida su <a href=\"https:\/\/darioiannascoli.it\/blog\/liberare-spazio-android-senza-perdere-dati\/\">come liberare spazio su Android senza perdere dati<\/a> trovate procedure utili anche per identificare app sospette che occupano risorse in modo anomalo.<\/p>\n<h2>FAQ<\/h2>\n<h3>Il malware Keenadu pu\u00f2 infettare il mio smartphone o solo i tablet?<\/h3>\n<p>La maggior parte delle infezioni firmware confermate riguarda tablet economici Android, in particolare modelli Alldocube. Tuttavia, Keenadu \u00e8 stato trovato anche in app su Google Play e altri store, quindi potenzialmente qualsiasi dispositivo Android pu\u00f2 essere colpito dalla variante app. Assicuratevi di avere Play Protect attivo e una soluzione di sicurezza installata.<\/p>\n<h3>Posso rimuovere Keenadu con un factory reset?<\/h3>\n<p>No, se Keenadu \u00e8 incorporato nel firmware (variante libandroid_runtime.so), un factory reset non lo rimuover\u00e0 perch\u00e9 il malware risiede nella partizione di sistema, che non viene toccata dal ripristino. L&#8217;unica soluzione \u00e8 flashare un firmware completamente pulito, se disponibile dal produttore.<\/p>\n<h3>Come faccio a sapere se il mio dispositivo Alldocube \u00e8 infetto?<\/h3>\n<p>Installate una soluzione di sicurezza come Kaspersky Mobile Security ed eseguite una scansione completa. Se possedete un Alldocube iPlay 50 mini Pro o modelli simili, contattate il supporto del produttore per verificare la disponibilit\u00e0 di un firmware aggiornato e pulito. Kaspersky ha confermato che anche versioni firmware successive alla segnalazione contenevano ancora il backdoor.<\/p>\n<h3>Google Play Protect \u00e8 sufficiente per proteggermi da Keenadu?<\/h3>\n<p>Google ha dichiarato che Play Protect protegge automaticamente dalle versioni note di Keenadu e pu\u00f2 avvisare l&#8217;utente anche per app provenienti da fonti esterne al Play Store. Tuttavia, per la variante firmware, Play Protect potrebbe non essere sufficiente da solo. Vi consiglio di affiancare un&#8217;app antivirus dedicata.<\/p>\n<h3>Keenadu pu\u00f2 rubare le mie credenziali bancarie?<\/h3>\n<p>S\u00ec, nella variante firmware pi\u00f9 avanzata, Keenadu ha accesso a tutte le informazioni sul dispositivo: messaggi, credenziali bancarie, posizione, media e persino le ricerche effettuate in modalit\u00e0 incognito su Chrome. Se sospettate un&#8217;infezione, cambiate immediatamente le password dei vostri account sensibili da un dispositivo sicuro.<\/p>\n<h2>Conclusione: Il Malware Keenadu Cambia le Regole della Sicurezza Android<\/h2>\n<p>La scoperta del <strong>malware Keenadu<\/strong> ci ricorda che la sicurezza Android non \u00e8 pi\u00f9 solo una questione di &#8220;non scaricare app sospette&#8221;. Quando la minaccia arriva preinstallata nel firmware, direttamente dalla catena di produzione, ci troviamo davanti a uno scenario completamente nuovo che richiede consapevolezza e strumenti adeguati.<\/p>\n<p>Nella mia esperienza, la difesa migliore \u00e8 un approccio multilivello: dispositivi certificati, soluzioni di sicurezza aggiornate, monitoraggio costante e la consapevolezza che anche un dispositivo nuovo pu\u00f2 essere compromesso. Se state configurando il vostro Android per la massima sicurezza e produttivit\u00e0, date un&#8217;occhiata anche alla mia guida su <a href=\"https:\/\/darioiannascoli.it\/blog\/automazioni-android-tasker-routine-samsung-produttivita-2026\/\">come configurare Android per la massima produttivit\u00e0 con Tasker e Routine Samsung<\/a>.<\/p>\n<p>Avete riscontrato comportamenti sospetti sul vostro tablet o smartphone Android? Avete trovato Keenadu sul vostro dispositivo? Raccontatemi la vostra esperienza nei commenti, sono curioso di sapere quanto sia diffuso il problema in Italia.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Scopri come verificare se il tuo dispositivo Android \u00e8 infetto dal malware Keenadu, il backdoor preinstallato nel firmware scoperto da Kaspersky a febbraio 2026.<\/p>\n","protected":false},"author":1,"featured_media":1318,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"Malware Keenadu Android: Come Rilevarlo e Rimuoverlo","_seopress_titles_desc":"Guida completa per rilevare e rimuovere il malware Keenadu da Android. Scopri se il tuo dispositivo \u00e8 infetto dal backdoor preinstallato nel firmware.","_seopress_robots_index":"","footnotes":""},"categories":[7],"tags":[283,284,282,226,100],"class_list":["post-1299","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-android","tag-firmware-backdoor","tag-kaspersky","tag-keenadu","tag-malware-android","tag-sicurezza-android"],"_links":{"self":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/1299","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/comments?post=1299"}],"version-history":[{"count":0,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/1299\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media\/1318"}],"wp:attachment":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media?parent=1299"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/categories?post=1299"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/tags?post=1299"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}