Un troian avansat preinstalat pe smartphone-uri oferă atacatorilor control deplin asupra dispozitivului

Specialiștii în securitate cibernetică au descoperit o nouă versiune sofisticată a troianului Triada, preinstalat pe smartphone-uri Android contrafăcute, care permite furtul de criptomonede, redirecționarea apelurilor și preluarea conturilor de pe rețelele sociale.

Versiunea sofisticată a troianului Triada este preinstalată pe smartphone-uri Android contrafăcute, vândute aparent prin distribuitori neautorizați, spun experții Kaspersky. Integrat direct în firmware-ul sistemului, malware-ul acționează nedetectat și oferă atacatorilor control complet asupra dispozitivelor infectate.

Peste 2.600 de utilizatori din întreaga lume au fost afectați. Cele mai multe cazuri au fost înregistrate în Brazilia, Kazahstan, Germania, Indonezia și Federația Rusă.

Spre deosebire de malware-ul mobil obișnuit, care este livrat prin aplicații, această variantă a troianului Triada este integrată direct în sistem, infiltrându-se în fiecare proces activ. Această abordare îi permite să desfășoare o gamă largă de activități rău intenționate, inclusiv:

• Furtul conturilor de mesagerie și rețele sociale, precum Telegram, TikTok, Facebook și Instagram

• Trimiterea și ștergerea de mesaje în aplicații precum WhatsApp și Telegram

• Înlocuirea adreselor de portofel pentru criptomonede cu cele ale atacatorilor

• Redirecționarea apelurilor telefonice prin falsificarea ID-ului apelantului

• Monitorizarea activității din browser și injectarea de link-uri rău intenționate

• Interceptarea, trimiterea și ștergerea de SMS-uri

• Activarea taxelor prin SMS-uri premium fără consimțământul utilizatorului

• Descărcarea și rularea de fișiere malware suplimentare

• Blocarea conexiunilor de rețea pentru a evita sistemele anti-fraudă

Soluțiile Kaspersky detectează această variantă sub denumirea de Backdoor.AndroidOS.Triada.z.

Descoperit inițial în 2016, Triada a evoluat constant, exploatând privilegii la nivel de sistem pentru a comite fraude, a intercepta autentificarea prin SMS și a evita detectarea. Această ultimă campanie marchează o escaladare îngrijorătoare, întrucât atacatorii par să profite de vulnerabilități în lanțul de aprovizionare pentru a instala malware la nivel de firmware pe dispozitive Android.