Nowy wariant złośliwego oprogramowania Triada instalowany na etapie produkcji na ponad dwóch tysiącach urządzeń z Androidem

W raporcie z 1 kwietnia 2025 roku Kaspersky informuje, że ponad 2600 użytkowników w różnych krajach, głównie Rosji, zetknęło się z nową wersją Triady.

Triada to nazwa nadana modułowej rodzinie złośliwego oprogramowania na system Android, odkryta przez Kaspersky’ego w marcu 2016 roku. Trojan zdalnego dostępu (ang. RAT) jest wyposażony w funkcję kradzieży szerokiej gamy poufnych informacji, a także werbowania zainfekowanych urządzeń do botnetu w celu wykonywania innych złośliwych działań.

Podczas gdy wcześniej złośliwe oprogramowanie było dystrybuowane za pośrednictwem aplikacji opublikowanych w sklepie Google Play (i nie tylko), które uzyskały dostęp root do zainfekowanych telefonów, późniejsze kampanie wykorzystywały mody WhatsApp, takie jak FMWhatsApp i YoWhatsApp, jako wektor propagacji.

Na przestrzeni lat zmienione wersje Triady trafiły również do tabletów z Androidem, dekoderów TV i projektorów cyfrowych jako część szeroko rozpowszechnionego wirusa o nazwie BADBOX. Wykorzystywał on kompromitacje w łańcuchu dostaw sprzętu i punkty sprzedaży stron trzecich do uzyskania początkowego dostępu na urządzeniach.

Zachowanie to zaobserwowano po raz pierwszy w 2017 r., kiedy złośliwe oprogramowanie przekształciło się w preinstalowany backdoor w systemie Android, umożliwiając atakującym zdalne sterowanie urządzeniami, wstrzykiwanie większej ilości złośliwego oprogramowania i wykorzystywanie ich do różnych nielegalnych działań.

Google (twórca systemu Android) zauważyło, że Triada infekuje obrazy systemów urządzeń za pośrednictwem strony trzeciej już w trakcie procesu produkcyjnego. Czasami producenci OEM chcą uwzględnić funkcje, które nie są częścią projektu Android Open Source, takie jak odblokowywanie ekranu za pomocą rozpoznawania twarzy. Producent OEM może nawiązać współpracę z firmą trzecią, która opracuje pożądaną funkcję, i wysłać cały obraz systemu do danego dostawcy.

Gigant technologiczny wskazał wówczas również dostawcę występującego pod nazwą Yehuo lub Blazefire jako stronę prawdopodobnie odpowiedzialną za zainfekowanie obrazu systemu Triadą.

Najnowsze wiadomości od Google w tym temacie nadają sprawie szerszy kontekst. Zainfekowany sprzęt to urządzenia z Android Open Source Project, a nie Android OS ani urządzenia z Androidem z certyfikatem Play Protect. Jeśli urządzenie nie ma certyfikatu Play Protect, Google nie ma historii wyników testów bezpieczeństwa i zgodności. Tylko systemy Android z certyfikatem Play Protect przechodzą obszerne testy w celu zapewnienia jakości i bezpieczeństwa użytkowników.

Najnowsze próbki złośliwego oprogramowania przeanalizowane przez specjalistów Kaspersky’ego pokazują, że znajdują się one na niskim poziomie systemu, co umożliwia ich kopiowanie do każdego procesu na smartfonie i daje atakującym nieograniczony dostęp oraz kontrolę nad wykonywaniem różnych działań, takich jak:

• kradzież kont użytkowników powiązanych z komunikatorami internetowymi i sieciami społecznościowymi, jak Telegram i TikTok,
• ukryte wysyłanie wiadomości WhatsApp i Telegram do innych kontaktów w imieniu ofiary i usuwanie ich w celu zatarcia śladów,
• działanie jako clipper poprzez przechwytywanie zawartości schowka z adresami portfeli kryptowalutowych, a nawet zastępowanie ich adresami atakujących,
• monitorowanie aktywności przeglądarki internetowej i zastępowanie linków,
• zamiana numerów telefonów podczas połączeń,
• przechwytywanie wiadomości SMS i subskrybowanie SMS-ów premium,
• pobieranie innych programów,
• blokowanie połączeń sieciowych.

Warto zauważyć, że Triada nie jest jedynym złośliwym oprogramowaniem, które zostało wstępnie załadowane na urządzenia z systemem Android na etapie produkcji. W maju 2018 r. Avast ujawnił, że kilkaset modeli Androida, w tym te od ZTE i Archos, zostało dostarczonych z preinstalowanym adware o nazwie Cosiloon. Jest to bardzo ciekawy i nadal bardzo rzadki wektor ataku. Potwierdza on, jak ważne jest kupowanie urządzeń podłączanych do Internetu z legalnych i zaufanych źródeł.