Versões falsificadas de modelos populares de smartphones, vendidas a preços reduzidos, foram descobertas contendo uma versão modificada de um malware para Android chamado Triada.
"Mais de 2.600 usuários em diferentes países encontraram a nova versão do Triada, a maioria na Rússia", afirmou a Kaspersky em um relatório.
As infecções foram registradas entre 13 e 27 de março de 2025.
Triada é o nome dado a uma família modular de malware para Android que foi descoberta pela primeira vez pela empresa russa de cibersegurança em março de 2016.
Um remote access trojan (RAT), ele é equipado para roubar uma ampla gama de informações sensíveis, bem como recrutar dispositivos infectados para um botnet para outras atividades maliciosas.
Enquanto o malware foi observado anteriormente sendo distribuído através de apps intermediários publicados na Google Play Store (e em outros lugares) que obtiveram acesso root aos telefones comprometidos, campanhas subsequentes aproveitaram mods do WhatsApp como FMWhatsApp e YoWhatsApp como vetor de propagação.
Ao longo dos anos, versões alteradas do Triada também encontraram seu caminho em tablets Android de marcas alternativas, caixas de TV, e projetores digitais como parte de um esquema de fraude generalizado chamado BADBOX que aproveitou comprometimentos da cadeia de suprimentos de hardware e marketplaces de terceiros para acesso inicial.
Esse comportamento foi observado pela primeira vez em 2017, quando o malware evoluiu para um backdoor do framework Android pré-instalado, permitindo aos atores da ameaça controlar remotamente os dispositivos, injetar mais malwares e explorá-los para várias atividades ilícitas.
"O Triada infecta imagens do sistema do dispositivo através de terceiros durante o processo de produção", observou o Google em junho de 2019.
Às vezes, os OEMs querem incluir recursos que não fazem parte do Android Open Source Project, como o desbloqueio facial.
O OEM pode se associar a um terceiro que pode desenvolver o recurso desejado e enviar a imagem do sistema inteiro a esse fornecedor para o desenvolvimento.
O gigante da tecnologia, na época, também apontou um fornecedor que atendia pelo nome de Yehuo ou Blazefire como a parte provavelmente responsável por infectar a imagem do sistema devolvida com o Triada.
As amostras mais recentes do malware analisadas pela Kaspersky mostram que elas estão localizadas no framework do sistema, permitindo assim que seja copiado para todo processo no smartphone e dando aos invasores acesso e controle irrestritos para realizar várias atividades:
- Roubar contas de usuário associadas a mensageiros instantâneos e redes sociais, como Telegram e TikTok
- Enviar mensagens do WhatsApp e Telegram de forma oculta em nome da vítima e deletá-las para não deixar rastros
- Agir como um clipper, sequestrando o conteúdo da área de transferência com endereços de carteiras de criptomoedas para substituí-los por uma carteira sob seu controle
- Monitorar a atividade do navegador da web e substituir links
- Substituir números de telefone durante chamadas
- Interceptação de mensagens SMS e subscrição das vítimas em serviços de SMS premium
- Download de outros programas
- Bloquear conexões de rede para interferir no funcionamento normal dos sistemas anti-fraude
Vale notar que o Triada não é o único malware que foi pré-carregado em dispositivos Android durante as etapas de fabricação.
Em maio de 2018, a Avast revelou que vários modelos Android, incluindo os da ZTE e Archos, foram enviados pré-instalados com outro adware chamado Cosiloon.
"O Trojan Triada é conhecido há muito tempo, e ainda permanece como uma das ameaças mais complexas e perigosas para o Android", disse o pesquisador da Kaspersky, Dmitry Kalinin.
Provavelmente, em uma das etapas, a cadeia de suprimentos é comprometida, então as lojas podem nem mesmo suspeitar que estão vendendo smartphones com o Triada.
Ao mesmo tempo, os autores da nova versão do Triada estão ativamente monetizando seus esforços.
Julgando pela análise das transações, eles foram capazes de transferir cerca de $270.000 em várias criptomoedas para suas carteiras cripto [entre 13 de junho de 2024 a 27 de março de 2025].
O surgimento de uma versão atualizada do Triada segue a descoberta de dois diferentes trojans bancários para Android chamados Crocodilus e TsarBot, este último visando mais de 750 aplicativos bancários, financeiros e de criptomoedas.
As duas famílias de malware são distribuídas via apps dropper que se passam por serviços legítimos do Google.
Eles também abusam dos serviços de acessibilidade do Android para controlar remotamente os dispositivos infectados e conduzir ataques overlay para sifonar credenciais bancárias e detalhes de cartões de crédito.
A revelação também ocorre enquanto a ANY.RUN detalhou uma nova cepa de malware para Android apelidada de Salvador Stealer que se disfarça como um aplicativo bancário voltado para usuários indianos (nome do pacote: "com.indusvalley.appinstall") e é capaz de colher informações sensíveis do usuário.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...