В последние недели исследователи Лаборатории Касперсого зафиксировали всплеск заражений вредоносным ПО Triada, предустановленным на поддельных Android-смартфонах, продаваемых по заниженным ценам. С 13 по 27 марта 2025 года было обнаружено более 2600 заражённых устройств, причём большая часть — в России.
Triada — это модульный троян для Android, впервые обнаруженный в 2016 году. Он относится к категории RAT (удалённый доступ) и способен не только красть конфиденциальные данные пользователей, но и превращать заражённые устройства в ботнет для дальнейших атак.
Ранее Triada распространялся через поддельные версии популярных приложений, но в последние годы злоумышленники начали внедрять троян прямо в прошивки устройств во время производства. Особенно это касается малоизвестных брендов и поддельных копий популярных смартфонов, планшетов и ТВ-приставок.
В ЛК отмечают, что текущая версия Triada встраивается в системные компоненты Android, что позволяет ей запускаться в каждом процессе устройства. Это даёт трояну практически неограниченный контроль и доступ к данным.
Что умеет Triada:
- Крадёт аккаунты из мессенджеров и соцсетей, включая Telegram и TikTok
- Незаметно рассылает сообщения от имени пользователя и удаляет их с устройства
- Подменяет адреса криптовалютных кошельков в буфере обмена
- Заменяет номера телефонов при звонках и ссылки в браузере
- Перехватывает SMS и подписывает жертв на платные сервисы
- Загружает дополнительные вредоносные программы
- Блокирует сетевые соединения, мешая работе антивирусов
В 2019 году компания Google уже обращала внимание на проблему, указывая на вендора под именем Yehuo (Blazefire), который заражал прошивки до возврата готовых образов производителям. По оценке Google, некоторые OEM-компании сами отправляют системные образы на доработку сторонним подрядчикам, что открывает путь для компрометации.
Случаи предустановленного вредоносного ПО — не редкость. В 2018 году компания Avast выявила аналогичную схему с другим зловредом — Cosiloon, который обнаружился в сотнях моделей смартфонов от брендов ZTE и Archos.
Согласно исследованию злоумышленники, стоящие за Triada, активно монетизируют свои действия. С июня 2024 по март 2025 года они перевели на свои криптокошельки более $270,000 в различных криптовалютах.
«Троянец Triada известен давно, он всё ещё остаётся одним из наиболее сложных и опасных среди угроз для Android. Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей. Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что продают смартфоны с Triada», — отметил аналитики Дмитрий Калинин.
На фоне новой активности Triada исследователи также предупреждают о появлении других угроз. Например, трояны Crocodilus и TsarBot маскируются под сервисы Google, получая доступ к банковским приложениям и похищая учётные данные с помощью наложения фальшивых интерфейсов. А вредонос Salvador Stealer под видом банковского приложения «для индийских пользователей» собирает чувствительную информацию с устройств.
Что делать пользователям:
- Избегать покупки смартфонов у сомнительных продавцов или по подозрительно низкой цене
- Проверять подлинность устройства и происхождение прошивки
- Устанавливать приложения только из официальных источников
- Использовать антивирусные решения с функцией анализа системных процессов
Проблема, по мнению экспертов, носит системный характер и требует более строгого контроля цепочек поставок, особенно для устройств, ориентированных на развивающиеся рынки.
Ещё по теме:
- Главу службы безопасности Apple оправдали по делу о взятке
- Тим Кук удачно продал акции на $24 млн — прямо перед объявлением новых пошлин
- Акции Apple начинают падать
