Новая версия Triada крадёт криптовалюту, аккаунты в мессенджерах и подменяет номера телефонов во время звонков

Эксперты «Лаборатории Касперского» обнаружили модифицированную версию троянца Triada. Зловредом оказались заражены совсем новые Android-устройства — подделки под разные популярные модели смартфонов. Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам. С новой версией Triada столкнулись* больше 2600 пользователей в разных странах, большинство — в России.

Новая версия вредоноса распространяется в прошивках заражённых Android-устройств. Она находится в системном фреймворке. Это означает, что копия Triada попадает в каждый процесс на смартфоне. Зловред обладает широкой функциональностью и даёт злоумышленникам почти неограниченные возможности для контроля над гаджетом, например он может:

• красть аккаунты пользователей в мессенджерах и социальных сетях, в частности в Telegram и TikTok;
• скрытно отправлять сообщения якобы от лица жертвы в WhatsApp** и Telegram, а также удалять их для затирания следов;
• красть криптовалюту, подменяя адреса криптокошельков в нужных приложениях;
• следить за активностью жертвы в браузерах и подменять ссылки;
• подменять номера во время звонков — чтобы перенаправлять абонента на нужный злоумышленникам контакт;
• контролировать СМС: перехватывать, отправлять и удалять сообщения;
• разрешать отправку премиум-СМС для получения платных услуг;
• скачивать и запускать другие программы на заражённом смартфоне;
• блокировать сетевые соединения, например чтобы мешать работе антифрод-систем.

«Троянец Triada известен давно, он всё ещё остаётся одним из наиболее сложных и опасных среди угроз для Android. Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей. Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что продают смартфоны с Triada, — комментирует Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского». — При этом авторы новой версии Triada активно монетизируют свои усилия. Судя по анализу транзакций, они смогли перевести порядка 270 тысяч долларов в разной криптовалюте*** на свои криптокошельки. Однако в реальности эта сумма может быть больше, злоумышленники также были нацелены на Monero — криптовалюту, которую невозможно отследить».

Решения «Лаборатории Касперского» детектируют новую версию Triada как Backdoor.AndroidOS.Triada.z.

Эксперты по кибербезопасности обращают внимание: киберриски, связанные с предустановленными зловредами, остаются актуальными. За первые три месяца 2025 года, по данным**** «Лаборатории Касперского», с такими программами столкнулись несколько тысяч пользователей в России.

Чтобы защититься от такого вредоносного ПО, эксперты по кибербезопасности рекомендуют:

• приобретать смартфоны только у авторизованных дистрибьюторов;
• сразу после покупки устанавливать защитные решения, например Kaspersky для Android: оно поможет обнаружить вредоносную программу на устройстве.

* Данные анонимизированной статистики срабатывания решений «Лаборатории Касперского» для мобильных устройств с 13 по 27 марта 2025 года.
** Принадлежит компании Meta, ее деятельность признана экстремистской и запрещена в России.
*** Данные открытых источников, с 13 июня 2024 года по 27 марта 2025 года.
**** Данные анонимизированной статистики срабатывания решений «Лаборатории Касперского» для мобильных устройств с 1 января по 27 марта 2025 года.