Возвращение Triada: новые версии Android превращают смартфон в шпионский гаджет

Новые версии Android значительно повысили защиту системы, запретив редактирование системных разделов даже с правами суперпользователя. Это привело к неожиданному результату: предустановленные в прошивке устройства вредоносные программы стало практически невозможно удалить. Этим воспользовались киберпреступники, встраивая трояны прямо в системные приложения.

Согласно отчету Лаборатории Касперского , именно так эволюционировала программа Triada, известная ранее благодаря загрузчику Dwphon. В марте 2025 года специалисты зафиксировали новую версию Triada, встроенную в прошивку поддельных смартфонов, продававшихся через онлайн-площадки. Троян заражал процесс Zygote — родительский для всех приложений в Android — обеспечивая полную компрометацию системы.

Троян Triada теперь использует сложную многоступенчатую архитектуру. Его компоненты внедряются в каждый процесс через модифицированную системную библиотеку binder.so, встроенную в файл boot-framework.oat. Эта библиотека подключается к процессу Zygote и запускает три модуля: вспомогательный модуль, основной бэкдор mms-core.jar и модуль, ориентированный на кражу криптовалют или установку дополнительных вредоносных программ.

Вспомогательный модуль регистрирует перехватчик вызовов методов в процессах приложений, облегчая последующую загрузку вредоносных функций. Основной бэкдор позволяет загружать новые вредоносные модули с серверов управления, ориентируясь на характеристики устройства и установленные приложения.

Особое внимание уделено атакам на приложения для работы с криптовалютой. Вредоносные модули подменяют адреса криптокошельков в текстовых полях и QR-кодах, перехватывают содержимое буфера обмена, а также могут устанавливать вредоносные APK без участия пользователя.

Triada активно атакует популярные приложения: Telegram, WhatsApp, Instagram, браузеры, Skype, LINE, TikTok и другие. Для каждого приложения разработаны индивидуальные вредоносные модули, которые извлекают сессионные токены, куки, пользовательские данные и даже способны перехватывать и удалять сообщения.

Модули для Telegram, например, извлекают пользовательские токены и удаляют сообщения по заданным шаблонам. Модули для WhatsApp могут отправлять сообщения от имени жертвы и удалять отправленные данные. В Instagram* крадутся файлы с куками активных сессий, а в браузерах — происходит подмена открываемых ссылок на рекламные или фишинговые ресурсы.

Также Triada может превратить заражённый смартфон в прокси-сервер для перенаправления трафика злоумышленников или в средство скрытой отправки SMS-сообщений для подписки на платные услуги. В некоторых случаях модуль изменяет политику отправки премиум-SMS, чтобы обходить системные ограничения.

Особое внимание стоит уделить модулю Clipper, который внедряется в приложение Google Play и каждые две секунды проверяет буфер обмена на наличие криптовалютных адресов для их замены на подконтрольные атакующим.

Анализ C2-серверов Triada показал, что злоумышленники смогли украсть свыше $264 000 в криптовалюте за последние месяцы, используя подмену адресов и кражу учётных данных. По данным телеметрии, заражено более 4500 устройств, при этом основное количество заражений зафиксировано в Великобритании, Нидерландах, Германии, Бразилии и других странах.

Triada демонстрирует высокий уровень подготовки разработчиков, в коде модулей присутствуют комментарии на китайском языке. Также были замечены совпадения с инфраструктурой другого вредоносного проекта Vo1d, что указывает на возможную связь между группами. Распространение заражённых устройств связано с поставками поддельных смартфонов, отличающихся поддельными отпечатками прошивки. Вполне возможно, что поставщики устройств не осознавали наличие угрозы.

Чтобы минимизировать последствия заражения, рекомендуется перепрошить устройство чистой официальной прошивкой, избегать использования мессенджеров и кошельков до очистки устройства и установить надёжное антивирусное решение для предотвращения подобных атак в будущем.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.