Покупатели Android-устройств рискуют получить телефон с предустановленным вредоносным ПО, способным похищать криптовалюту, перехватывать сообщения и подменять номера при звонках.
Эксперты «Лаборатории Касперского» обнаружили модифицированную версию троянца Triada. Зловредом оказались заражены совсем новые Android-устройства — подделки под разные популярные модели смартфонов. Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам. С новой версией Triada столкнулись* больше 2600 пользователей в разных странах, большинство — в России.
Новая версия вредоноса распространяется в прошивках зараженных Android-устройств. Она находится в системном фреймворке. Это означает, что копия Triada попадает в каждый процесс на смартфоне. Зловред обладает широкой функциональностью и дает злоумышленникам почти неограниченные возможности по контролю над гаджетом. Троянец может воровать логины из Telegram и TikTok, рассылать сообщения от имени жертвы, подменять адреса криптокошельков при переводах, менять номера при звонках, перехватывать SMS, включая платные подписки, скачивать и запускать другие программы на зараженном смартфоне, блокировать сетевые соединения, например, чтобы мешать работе антифрод-систем.
«Троянец Triada известен давно, он все еще остается одним из наиболее сложных и опасных среди угроз для Android. Его новая версия проникает в прошивки смартфонов еще до того, как гаджеты попадают в руки пользователей. Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что продают смартфоны с Triada. При этом авторы новой версии Triada активно монетизируют свои усилия. Судя по анализу транзакций, они смогли перевести порядка 270 тысяч долларов в разной криптовалюте** на свои криптокошельки. Однако в реальности эта сумма может быть больше, злоумышленники также были нацелены на Monero — криптовалюту, которую невозможно отследить».
Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского»
Эксперты по кибербезопасности обращают внимание: киберриски, связанные с предустановленными зловредами, остаются актуальными. За первые три месяца 2025 года, по данным*** «Лаборатории Касперского», с такими программами столкнулись несколько тысяч пользователей в России.
* Данные анонимизированной статистики срабатывания решений «Лаборатории Касперского» для мобильных устройств с 13 по 27 марта 2025 года.
** Данные открытых источников, с 13 июня 2024 года по 27 марта 2025 года.
*** Данные анонимизированной статистики срабатывания решений «Лаборатории Касперского» для мобильных устройств с 1 января по 27 марта 2025 года.