Valfelijke versies van populaire smartphonemodellen die tegen gereduceerde prijzen worden verkocht, zijn vooraf geladen met een aangepaste versie van een Android -malware genaamd Triada.
“Meer dan 2.600 gebruikers in verschillende landen zijn de nieuwe versie van Triada tegengekomen, de meerderheid in Rusland,” zei Kaspersky in een rapport. De infecties werden geregistreerd tussen 13 en 27 maart 2025.
Triada is de naam gegeven aan een modulaire Android -malware -familie die voor het eerst werd ontdekt door het Russische cybersecuritybedrijf in maart 2016. Een externe toegang Trojan (rat), het is uitgerust om een breed scala aan gevoelige informatie te stelen, en geïnfecteerde apparaten in te schakelen in een botnet voor andere kwaadaardige activiteiten.
Terwijl de malware eerder werd opgemerkt die werd gedistribueerd via tussenliggende apps gepubliceerd in de Google Play Store (en elders) die worteltoegang kreeg tot de gecompromitteerde telefoons, hebben daaropvolgende campagnes WhatsApp -mods zoals FMWhatsApp en Yowhatsapp als een propagatievector.
In de loop der jaren hebben gewijzigde versies van Triada ook hun weg gevonden naar off-merk Android-tablets, tv-dozen en digitale projectoren als onderdeel van een wijdverbreid fraudeschema genaamd Badbox met hefboomcompromissen met hardware en externe marktplekken voor initiële toegang.
Dit gedrag werd voor het eerst waargenomen in 2017, toen de malware evolueerde naar een vooraf geïnstalleerde Android Framework-achterdeur, waardoor de dreigingsacteurs op afstand de apparaten konden controleren, meer malware injecteer en exploiteert voor verschillende illegale activiteiten.
“Triada infecteert apparaatsysteemafbeeldingen via een derden tijdens het productieproces,” merkte Google in juni 2019 op. “Soms willen OEM’s functies opnemen die geen deel uitmaken van het Android Open Source-project, zoals Face Unlock. De OEM kan samenwerken met een derde partij die de gewenste functie kan ontwikkelen en het hele systeemafbeelding kan sturen naar die leverancier voor ontwikkeling.”
De tech -gigant, op dat moment, wees ook vingers op een verkoper die de naam Yehuo of Blazefire heette, omdat de partij die waarschijnlijk verantwoordelijk is voor het infecteren van het geretourneerde systeemafbeelding met triada.
De nieuwste monsters van de door Kaspersky geanalyseerde malware laten zien dat ze zich in het systeemraamwerk bevinden, waardoor het naar elk proces op de smartphone kan worden gekopieerd en de aanvallers ongebreidelde toegang en controle geeft om verschillende activiteiten uit te voeren –
- Steal gebruikersaccounts die zijn gekoppeld aan instant messengers en sociale netwerken, zoals Telegram en Tiktok
- Stuur heimelijk WhatsApp- en telegramberichten naar andere contacten namens het slachtoffer en verwijder ze om sporen te verwijderen
- Fung als een clipper door klembordinhoud te kapen met cryptocurrency -portemonnee -adressen om ze te vervangen door een portemonnee onder hun controle
- Controleer de activiteit van de webbrowser en vervang links
- Vervang telefoonnummers tijdens oproepen
- Intercept SMS -berichten en abonneer slachtoffers op premium sms
- Download andere programma’s
- Blokkeer netwerkverbindingen om de normale werking van anti-fraudesystemen te verstoren
Het is vermeldenswaard dat Triada niet de enige malware is die tijdens de productiefase vooraf is geladen op Android -apparaten. In mei 2018 onthulde Avast dat enkele honderden Android-modellen, waaronder die van Like ZTE en Archos, vooraf werden verzonden met een andere adware genaamd Cosiloon.
“De Triada Trojan is al lang bekend en het blijft nog steeds een van de meest complexe en gevaarlijke bedreigingen voor Android,” zei Kaspersky -onderzoeker Dmitry Kalinin. “Waarschijnlijk is de supply chain in een van de fasen gecompromitteerd, dus winkels kunnen niet eens vermoeden dat ze smartphones verkopen met triada.”
“Tegelijkertijd zijn de auteurs van de nieuwe versie van Triada actief inkomsten met hun inspanningen. Afgaande op de analyse van transacties konden ze ongeveer $ 270.000 overbrengen in verschillende cryptocurrencies naar hun crypto -portefeuilles (tussen 13 juni 2024, tot 27 maart 2025).”
De opkomst van een bijgewerkte versie van Triada volgt op de ontdekking van twee verschillende Android Banking Trojans genaamd Crocodilus en Tsarbot, waarvan de laatste zich richt op meer dan 750 bank-, financiële en cryptocurrency -applicaties.
Beide malwarefamilies worden gedistribueerd via druppel -apps die zich voordoen als legitieme Google -diensten. Ze misbruiken ook de toegankelijkheidsservices van Android om de geïnfecteerde apparaten op afstand te besturen en overlayaanvallen uit te voeren naar sifon bankreferenties en creditcardgegevens.
De openbaarmaking komt ook zoals elke.run een nieuwe Android -malware -stam heeft gedetailleerd genaamd Salvador Stealer die zich vermomt als een banktoepassing die zich richt op Indiase gebruikers (pakketnaam: “Com.indusValley.Appinstall”) en kan gevoelige gebruikersinformatie oogsten.
