Устройства на Android поступают в продажу с предустановленным трояном Triada

Специалисты "Лаборатории Касперского" выявили модифицированную версию троянца Triada, внедрённую в прошивки новых Android-устройств, представляющих собой подделки популярных моделей смартфонов. Такие устройства могут продаваться через онлайн-магазины по сниженным ценам. С заражёнными гаджетами столкнулись более 2600 пользователей в разных странах, большинство — в России. Данные зафиксированы в период с 13 по 27 марта 2025 года, пишет Securitylab.

По информации исследователей, вредоносная программа внедрена на уровне системного фреймворка операционной системы, что обеспечивает её присутствие во всех процессах устройства. Зловред обладает широким спектром функций и предоставляет злоумышленникам практически полный контроль над устройством. В частности, он способен:

• похищать аккаунты в мессенджерах и социальных сетях, включая Telegram и TikTok;
• отправлять и удалять сообщения в WhatsApp и Telegram от имени жертвы;
• похищать криптовалюту путём подмены адресов кошельков;
• следить за действиями пользователя в браузере и подменять ссылки;
• перенаправлять звонки, подменяя номера абонентов;
• перехватывать, отправлять и удалять SMS-сообщения;
• активировать отправку платных SMS;
• загружать и запускать сторонние программы;
• блокировать сетевые соединения, включая те, что используются ант ифрод -системами.

Эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин отметил, что троянец Triada остаётся одной из самых опасных угроз для Android. Он подчеркнул, что вредоносная программа оказывается на устройстве ещё до того, как смартфон попадает к конечному покупателю. «Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что продают смартфоны с Triada», — пояснил Калинин.

По оценке специалистов, создатели новой версии Triada уже получили около 270 тысяч долларов в криптовалюте. Эта сумма зафиксирована по данным открытых источников за период с 13 июня 2024 года по 27 марта 2025 года. При этом исследователи допускают, что реальная сумма может быть выше, так как злоумышленники также использовали криптовалюту Monero, транзакции с которой невозможно отследить.

Triada детектируется как Backdoor.AndroidOS.Triada.z. Компания предупреждает, что предустановленные вредоносные программы продолжают представлять серьёзную угрозу. Только в первом квартале 2025 года несколько тысяч пользователей в России столкнулись с подобными зловредами.