Vírus pré-instalado no Android monitora dados bancários e navegação anônima de milhares de usuários

Uma falha crítica na cadeia de suprimentos da indústria de tecnologia acendeu o alerta de autoridades e especialistas em segurança digital em 2026. Milhares de consumidores em diferentes países estariam adquirindo smartphones já infectados com o malware Keenadu antes mesmo de ligá-los pela primeira vez.

De acordo com a empresa de cibersegurança Kaspersky, o código malicioso é inserido diretamente no firmware do aparelho ainda durante o processo de fabricação. Isso significa que o vírus já integra o sistema operacional original do dispositivo, dispensando qualquer ação do usuário, como download de aplicativos suspeitos ou acesso a links maliciosos.

Segundo a companhia, o Keenadu transforma os celulares infectados em ferramentas de fraude publicitária em larga escala. Integrado nas camadas mais profundas do software, o programa opera de forma invisível para o dono do aparelho e pode roubar credenciais bancárias, mensagens privadas e dados de geolocalização em tempo real.

Un malware Android qui ne passe pas par les méthodes classiques d’infection.

Keenadu a été identifié via trois vecteurs distincts :
– Préinstallé dans le firmware
– Caché dans des apps système (face unlock, launcher)
– Déguisé dans des app stores

Plus de 13 000 appareils… pic.twitter.com/k4YpXkjVjg

— Kaspersky France (@kasperskyfrance) February 17, 2026

Vírus resiste até a formatação de fábrica

Especialistas afirmam que o nível de sofisticação do ataque marca um novo patamar nos riscos à segurança do sistema Android. Diferentemente de trojans convencionais, o Keenadu se infiltra em processos centrais do sistema, como o chamado Zygote — responsável por iniciar todos os aplicativos do aparelho.

Ao se estabelecer no firmware, o malware ganha persistência total. Nem mesmo a restauração aos padrões de fábrica é capaz de removê-lo. Na prática, o celular continua comprometido mesmo após procedimentos considerados eficazes para eliminar vírus comuns.

A investigação aponta que marcas de baixo custo, vendidas em plataformas como Amazon e AliExpress, concentram a maior parte dos casos. O uso de intermediários de produção com controles de qualidade frágeis teria permitido a inserção do código malicioso em componentes legítimos do sistema, como o reconhecimento facial e o launcher (interface inicial do aparelho).

Isso dificulta a remoção do vírus. Apagar manualmente o arquivo infectado pode comprometer funções essenciais do smartphone, tornando-o inutilizável.

Uma vez ativado, o dispositivo passa a funcionar como uma “porta traseira” para os criminosos. O aparelho gera cliques invisíveis em anúncios online, prática conhecida como fraude publicitária. O impacto financeiro pode atingir empresas e anunciantes em escala global.

Além disso, o Keenadu possui capacidade de espionagem avançada. O vírus é capaz de monitorar histórico de navegação, inclusive quando o usuário utiliza o modo anônimo do navegador Google Chrome. Especialistas afirmam que, nesse cenário, a privacidade prometida pelo modo incógnito torna-se irrelevante.

Origem asiática e mais de 13 mil aparelhos afetados

As análises técnicas indicam que o ataque pode ter origem na China. Pesquisadores identificaram que o malware se desativa automaticamente ao detectar dialetos chineses ou fusos horários do país asiático, comportamento considerado comum em campanhas direcionadas a mercados internacionais.

Até o momento, mais de 13 mil dispositivos teriam sido comprometidos em países como Japão, Alemanha, Brasil e Holanda. O número pode ser maior, já que a detecção é complexa e depende de análises profundas do firmware.

A Google informou que reforçou o sistema Google Play Protect para bloquear variantes conhecidas do malware. No entanto, especialistas ressaltam que a presença do vírus no firmware original representa um desafio técnico significativo para a indústria, já que o problema ocorre antes mesmo da distribuição oficial dos aparelhos.

Para consumidores que suspeitam de infecção, a recomendação é buscar atualizações oficiais de firmware (OTA) disponibilizadas pelo fabricante. Em casos extremos, pode ser necessário realizar o “flashing” — reinstalação manual de uma ROM limpa — procedimento complexo que exige conhecimento técnico e pode inutilizar o aparelho se executado incorretamente.

Analistas de segurança defendem maior rigor nas cadeias globais de produção e recomendam que consumidores priorizem marcas com histórico sólido de atualizações e suporte de segurança. Embora aparelhos de baixo custo sejam atraentes, especialistas alertam que a economia inicial pode resultar em prejuízos financeiros e exposição de dados pessoais.

O episódio reforça um alerta recorrente no setor de tecnologia: a segurança digital não depende apenas do comportamento do usuário, mas também da integridade de toda a cadeia de fabricação. Em um cenário de ameaças cada vez mais sofisticadas, a vulnerabilidade pode estar presente antes mesmo do primeiro toque na tela.