Se ha opuesto que las versiones falsificadas de los modelos populares de teléfonos inteligentes a precios reducidos están precargados con una lectura modificada de un malware Android llamado Triada.
«Más de 2.600 usuarios en diferentes países han opuesto la nueva lectura de Triada, la mayoría en Rusia», dijo Kaspersky en un crónica. Las infecciones se registraron entre el 13 y el 27 de marzo de 2025.
Triada es el nombre hexaedro a una tribu modular de malware de Android que fue descubierta por primera vez por la compañía de seguridad cibernética rusa en marzo de 2016. Un troyano de comunicación remoto (rata), está equipado para robar una amplia abanico de información confidencial, así como reclutar dispositivos infectados en un cogollo para otras actividades maliciosas.
Mientras que el malware se observó previamente distribuirse a través de aplicaciones intermedias publicadas en Google Play Store (y en otros lugares) que obtuvieron comunicación raíz a los teléfonos comprometidos, las campañas posteriores han utilizado las modificaciones de WhatsApp como FmwhatsApp y YowhatsApp como vector de propagación.
A lo holgado de los abriles, las versiones alteradas de Triada además han opuesto su camino en tabletas Android fuera de marca, cajas de TV y proyectores digitales como parte de un esquema de fraude generalizado llamado Badbox que ha utilizado los compromisos de la cautiverio de suministro de hardware y los mercados de terceros para el comunicación original.
Este comportamiento se observó por primera vez en 2017, cuando el malware evolucionó a una puerta trasera de Android Framework preinstalada, lo que permite a los actores de amenaza controlar los dispositivos de forma remota, inyectar más malware y explotarlos para varias actividades ilícitas.
«Triada infecta las imágenes del sistema de dispositivos a través de un tercero durante el proceso de producción», señaló Google en junio de 2019. «A veces, los OEM quieren incluir características que no sean parte del plan de código extenso de Android, como Face Unlock. El OEM podría asociarse con una tercera parte que puede desarrollar la característica deseada y cursar toda la imagen del sistema a ese proveedor para el expansión».
El titán tecnológico, en ese momento, además señaló los dedos a un proveedor que se llamaba Yehuo o Blazefire como la parte probablemente responsable de infectar la imagen del sistema devuelta con Triada.
Las últimas muestras del malware analizado por Kaspersky muestran que están ubicadas en el situación del sistema, lo que permite que se copie a cada proceso en el teléfono inteligente y brinde a los atacantes comunicación y control sin restricciones para realizar diversas actividades,
- Robar cuentas de adjudicatario asociadas con mensajeros instantáneos y redes sociales, como Telegram y Tiktok
- Envíe sigilosamente los mensajes de WhatsApp y Telegram a otros contactos en nombre de la víctima y eliminarlos para eliminar trazas
- Actúa como un clipper secuestrando contenido de portapapeles con direcciones de billetera de criptomonedas para reemplazarlas con una billetera bajo su control
- Monitorear la actividad del navegador web y reemplazar los enlaces
- Reemplace los números de teléfono durante las llamadas
- Interceptar mensajes de SMS y suscribir a las víctimas a SMS premium
- Descargar otros programas
- Sitiar conexiones de red para interferir con el funcionamiento común de los sistemas anti-fraude
Vale la pena señalar que Trianda no es el único malware que se ha precargado en dispositivos Android durante las etapas de fabricación. En mayo de 2018, Avast reveló que varios cientos de modelos Android, incluidos los de Like ZTE y Archos, fueron enviados previamente a la instalación con otro adware llamado Cosiloon.
«El troyano Triada ha sido conocido durante mucho tiempo, y sigue siendo una de las amenazas más complejas y peligrosas para Android», dijo el investigador de Kaspersky, Dmitry Kalinin. «Probablemente, en una de las etapas, la cautiverio de suministro se ve comprometida, por lo que las tiendas ni siquiera sospechan que están vendiendo teléfonos inteligentes con Triada».
«Al mismo tiempo, los autores de la nueva lectura de Triada están monetizando activamente sus esfuerzos. A dictaminar por el examen de las transacciones, pudieron transferir cerca de de $ 270,000 en varias criptomonedas a sus billeteras de secreto (entre el 13 de junio de 2024 y el 27 de marzo de 2025)».
La aparición de una lectura actualizada de Triada sigue el descubrimiento de dos troyanos de banca Android diferentes llamados Crocodilus y Tsarbot, este posterior de los cuales se dirige a más de 750 aplicaciones bancarias, financieras y de criptomonedas.
Ambas familias de malware se distribuyen a través de aplicaciones de cuentagotas que se hacen advenir por los servicios legítimos de Google. Igualmente abusan de los servicios de accesibilidad de Android para controlar de forma remota los dispositivos infectados y realizar ataques superpuestos a credenciales bancarias de sifra y detalles de la plástico de crédito.
La divulgación además viene como cualquier otra.
Poner al día
Posteriormente de la publicación de la historia, un portavoz de Google le dijo a The Hacker News que los dispositivos Android infectados por Triada no están certificados por la protección de la Play, y que los usuarios están protegidos contra Crocodilus y Tsarbot por Google Play Protect.
«Los dispositivos infectados son dispositivos de plan de código extenso de Android, no Android OS o Play Protect Certified Android Devices», dijo el portavoz. «Si un dispositivo no está reproducido, Google no tiene un registro de resultados de pruebas de seguridad y compatibilidad. Los dispositivos Android certificados de Play Protect certificados experimentan pruebas extensas para asegurar la calidad y la seguridad del adjudicatario».
(La historia se actualizó posteriormente de la publicación para incluir una respuesta de Google).
