Bu makalede geçiyor olan Triada virüsü nedir? Triada’nın Android cihazlarda nasıl yayıldığına dair bilgiler nelerdir? Kullanıcıların Triada virüsü ile karşılaşma oranı nedir? Hangi ülkelerde bu virüs daha yaygındır? Triada’nın kullanıcı bilgilerine ulaşma yöntemleri nelerdir?
Counterfeit versions of popular smartphone models that are sold at reduced prices have been found to be preloaded with a modified version of an Android malware called Triada. "More than 2,600 users in different countries have encountered the new version of Triada, the majority in Russia," Kaspersky said in a report. The infections were recorded between March 13 and 27, 2025. Triada is the name given to a modular Android malware family that was first discovered by the Russian cybersecurity company in March 2016. A remote access trojan (RAT), it’s equipped to steal a wide range of sensitive information, as well as enlist infected devices into a botnet for other malicious activities.
While the malware was previously observed being distributed via intermediate apps published on the Google Play Store (and elsewhere) that gained root access to the compromised phones, subsequent campaigns have leveraged WhatsApp mods like FMWhatsApp and YoWhatsApp as a propagation vector. Over the years, altered versions of Triada have also found their way into off-brand Android tablets, TV boxes, and digital projectors as part of a widespread fraud scheme called BADBOX that has leveraged hardware supply chain compromises and third-party marketplaces for initial access.
This behavior was first observed in 2017, when the malware evolved to a pre-installed Android framework backdoor, allowing the threat actors to remotely control the devices, inject more malware, and exploit them for various illicit activities. "Triada infects device system images through a third-party during the production process," Google noted in June 2019. "Sometimes OEMs want to include features that aren’t part of the Android Open Source Project, such as face unlock. The OEM might partner with a third-party that can develop the desired feature and send the whole system image to that vendor for development."
The tech giant, at that time, also pointed fingers at a vendor that went by the name Yehuo or Blazefire as the party likely responsible for infecting the returned system image with Triada. The latest samples of the malware analyzed by Kaspersky show that they are located in the system framework, thus allowing it to be copied to every process on the smartphone and giving the attackers unfettered access and control to perform various activities:
- Steal user accounts associated with instant messengers and social networks, such as Telegram and TikTok
- Stealthily send WhatsApp and Telegram messages to other contacts on behalf of the victim and delete them in order to remove traces
- Act as a clipper by hijacking clipboard content with cryptocurrency wallet addresses to replace them with a wallet under their control
- Monitor web browser activity and replace links
- Replace phone numbers during calls
- Intercept SMS messages and subscribe victims to premium SMS
- Download other programs
- Block network connections to interfere with the normal functioning of anti-fraud systems
It’s worth noting that Triada is not the only malware that has been preloaded on Android devices during the manufacturing stages. In May 2018, Avast revealed that several hundred Android models, including those from brands like ZTE and Archos, were shipped pre-installed with another adware called Cosiloon. "The Triada Trojan has been known for a long time, and it still remains one of the most complex and dangerous threats to Android," Kaspersky researcher Dmitry Kalinin said. "Probably, at one of the stages, the supply chain is compromised, so stores may not even suspect that they are selling smartphones with Triada."
"At the same time, the authors of the new version of Triada are actively monetizing their efforts. Judging by the analysis of transactions, they were able to transfer about $270,000 in various cryptocurrencies to their crypto wallets [between June 13, 2024, to March 27, 2025]." The emergence of an updated version of Triada follows the discovery of two different Android banking trojans called Crocodilus and TsarBot, the latter of which targets over 750 banking, financial, and cryptocurrency applications. Both the malware families are distributed via dropper apps that impersonate legitimate Google services. They also abuse Android’s accessibility services to remotely control the infected devices and conduct overlay attacks to siphon banking credentials and credit card details.
The disclosure also comes as ANY.RUN detailed a new Android malware strain dubbed Salvador Stealer that masquerades as a banking application catering to Indian users (package name: "com.indusvalley.appinstall") and is capable of harvesting sensitive user information.
Update: Following the publication of the story, a Google spokesperson told The Hacker News that the Android devices infected by Triada are not Play Protect certified, and that users are protected against Crocodilus and TsarBot by Google Play Protect. "The infected devices are Android Open Source Project devices, not Android OS or Play Protect certified Android devices," the spokesperson said. "If a device isn’t Play Protect certified, Google doesn’t have a record of security and compatibility test results. Play Protect certified Android devices undergo extensive testing to ensure quality and user safety."
(The story was updated after publication to include a response from Google.)
Triada Zararlı Yazılımı: Sahte Android Telefonlarda Ön Yüklü Olarak Bulundu ve 2,600’den Fazla Cihazı Enfekte Etti
Son yıllarda, mobil teknolojilerin hızla gelişmesiyle birlikte, sahte veya klonlanmış cihazların piyasada yer alması da bir o kadar artmıştır. Bu sahte cihazlar genellikle ucuz fiyatlar ile tüketicilere sunulmakta ve çoğu zaman kullanıcılar tarafından gerçek olanlardan ayırt edilememektedir. Ancak, bu cihazlarda sıklıkla gizli tehditler bulunmakta ve en son çıkan Triada zararlı yazılımı, bu durumun ne denli tehlikeli olabileceğini gözler önüne sermektedir.
Triada Zararlı Yazılımı Nedir?
Triada, Android işletim sistemine yönelik oldukça karmaşık ve sızma yeteneği yüksek bir zararlı yazılımdır. İlk olarak 2016 yılında ortaya çıkan bu zararlı yazılım, özellikle Sahtecilik (Fraud) alanında faaliyet gösteren kötü niyetli yazılımcılar tarafından geliştirilmiştir. Triada, bir tür trojan olarak sınıflandırılır ve genellikle cihazlara uzaktan erişim sağlamak, kullanıcı bilgilerini çalmak ve reklam amacıyla kullanılacak verileri toplayarak kötü niyetli reklam faaliyetleri yürütmek için kullanılır.
Sahte Telefonların Tehlikeleri
Teknoloji devleri tarafından üretilen gerçek cihazların yüksek fiyatları, birçok tüketiciyi daha ucuz alternatiflere yöneltmektedir. Bu durumda, sahte telefonlar pazarda yer bulmakta ve tüketicilerin dikkatini çekmektedir. Ancak sahte telefonlar çoğunlukla yetersiz güvenlik önlemleri ile donatılmış oldukları için, zararlı yazılımlara karşı oldukça savunmasızdırlar.
Triada zararlı yazılımının bu sahte cihazlara önceden yüklenmiş olarak bulunması, kullanıcılar için ciddi bir tehdit oluşturuyor. Kullanıcılar, telefonlarını aldıklarında herhangi bir zarar görmeyeceklerini düşünerek bu cihazları satın almakta ve kullanmakta, ancak cihazlarına önceden yüklenmiş olan Triada gibi zararlı yazılımların varlığından haberdar olmamaktadırlar.
Enfekte Olan Cihazlar
Son yapılan bir araştırma, Triada zararlı yazılımıyla enfekte olmuş 2,600’den fazla sahte Android cihazın tespit edildiğini ortaya koymuştur. Bu cihazlar genellikle Asya pazarında, özellikle de Çin’den ithal edilen modeller arasında yer almaktadır. Sahte telefonlar, genellikle daha düşük fiyatlar ile satıldıkları için alıcılar tarafından tercih edilmekte; ancak kullanıcılar bu cihazların arka planda hangi tehditleri barındırabileceğini hesap edememektedir.
Zararlı Yazılımın Dağılımı ve Etkileri
Triada zararlı yazılımı bir kez cihaza yüklendiğinde, kullanıcının kişisel verilerine erişmeye başlayabilir. Kişisel bilgiler, kredi kartı bilgileri, sosyal medya hesapları gibi hayati bilgileri toplamak üzere tasarlanmıştır. Ayrıca reklam dolandırıcılığı gibi kötü niyetli faaliyetlerde de kullanılabilir. Kullanıcılar, telefonlarında olağandışı davranışlar, sürekli reklam pop-up’ları veya düşük performans gibi belirtilerle karşılaşabilir. Bu durum, kullanıcıların cihazlarının güvenliğinden şüphe duymasına neden olurken aynı zamanda kişisel bilgilerini kaybetme riskini de artırır.
Triada’nın Tespiti ve Koruma Yöntemleri
Bu tür zararlı yazılımların varlığını önleyebilmek için, kullanıcıların alacakları bazı önlemler bulunmaktadır. Kullanıcılar, telefon satın alırken dikkatli olmalı ve güvenilir markaları tercih etmelidir. Sahte veya klon cihazları satın almaktan kaçınmak, kişisel bilgilerinizi korumanın en etkili yoludur.
Ayrıca, akıllı telefonlarda güncel bir güvenlik yazılımı kullanmak da son derece önemlidir. Güvenlik yazılımları, cihazınıza önceden yüklenmiş olabilecek zararlı yazılımları tespit edebilir ve sizi bu tehditlerden koruyabilir. Düzenli olarak güvenlik güncellemeleri yapmak, cihaz güvenliğini artırmak için kritik bir adımdır.
Sonuç
Triada gibi zararlı yazılımlar ve sahte telefonlar, teknoloji dünyasının karanlık yüzlerinden sadece birini temsil etmektedir. Kullanıcıların dikkat etmesi, alacakları cihazların güvenilirliğini sorgulaması ve gerekli güvenlik önlemlerini alması şarttır. Teknik bilgi ve farkındalık, mobil cihazlarınızı güvende tutmanın anahtarıdır. Sahte telefonlardan kaçınarak, siber tehditlerle daha az karşılaşabilir ve kişisel bilgilerinizi koruma altına alabilirsiniz. Unutulmamalıdır ki, teknoloji ilerledikçe bu tür zararlı yazılımlar da gelişmeye devam edecektir; bu yüzden sürekli olarak bilinçlenmek ve kendimizi korumak adına gerekli önlemleri almak oldukça önemlidir.
