Эксперты «Лаборатории Касперского» обнаружили новую версию троянца Triada. Вредонос оказался установлен в прошивках новых Android‑смартфонов, которые внешне похожи на популярные модели. Такие устройства продаются в неавторизованных онлайн‑магазинах по сниженным ценам. 2,6 тысячи пользователей уже столкнулись с новой версией Triada, большинство из них — в России.
Троянец встроен в системный фреймворк Android. Это значит, что ВПО запускается вместе с каждым процессом на устройстве. Зловред имеет широкие возможности и позволяет злоумышленникам полностью контролировать заражённый смартфон. Вредонос может:
-
красть аккаунты в мессенджерах и соцсетях, включая Telegram и TikTok;
-
отправлять сообщения от имени пользователя в WhatsApp и Telegram, а затем удалять их;
-
красть криптовалюту, подменяя адреса кошельков;
-
следить за действиями в браузере и подменять ссылки;
-
подменять номера телефонов во время звонков;
-
перехватывать, отправлять и удалять СМС;
-
разрешать отправку платных премиум‑СМС;
-
скачивать и запускать другие вредоносные программы;
-
блокировать сетевые соединения, мешая работе защитных систем.
Triada встраивается в смартфон ещё до покупки. По словам экспертов, заражение происходит на одном из этапов поставки, и продавцы могут об этом не знать. Вредонос активно используется для получения прибыли. По данным анализа транзакций, его авторы перевели 270 тысяч долларов в криптовалюте на свои кошельки. Часть суммы могла быть получена в Monero — криптовалюте, которую нельзя отследить. Решения «Лаборатории Касперского» определяют этот вариант троянца как Backdoor.AndroidOS.Triada.z.
Эксперты «Лаборатории Касперского» предупреждают: предустановленные зловреды по‑прежнему представляют угрозу. За первые 3 месяца 2025 года с такими программами столкнулись несколько тысяч пользователей в России.
ссылка на оригинал статьи https://habr.com/ru/articles/897552/
Добавить комментарий