03 avril 2025Ravie LakshmananIntelligence de menace / sécurité mobile

Les versions contrefaites des modèles de smartphones populaires qui sont vendues à des prix réduits se sont avérées précharger avec une version modifiée d’un malware Android appelé Triada.

“Plus de 2 600 utilisateurs dans différents pays ont rencontré la nouvelle version de Triada, la majorité en Russie”, Kaspersky dit dans un rapport. Les infections ont été enregistrées entre le 13 et le 27 mars 2025.

Triada est le nom donné à une famille de malware Android modulaire qui était d’abord découvert Par la Russian Cybersecurity Company en mars 2016. Un cheval de Troie à distance (rat), il est équipé de voler un large éventail d’informations sensibles, ainsi que d’enrôler des appareils infectés dans un botnet pour d’autres activités malveillantes.

Alors que le malware était précédemment observé en distribution via des applications intermédiaires publiées sur le Google Play Store (et ailleurs) qui accédé à la racine Aux téléphones compromis, les campagnes ultérieures ont exploité des mods WhatsApp comme FMWHATAPP et YowhatsApp comme vecteur de propagation.

Cybersécurité

Au fil des ans, des versions modifiées de Triada ont également trouvé leur chemin dans les tablettes Android hors marque, les boîtes de télévision et les projecteurs numériques dans le cadre d’un large éventail schéma de fraude Appelé Badbox qui a exploité des compromis de la chaîne d’approvisionnement en matériel et des marchés tiers pour l’accès initial.

Ce comportement était d’abord observé En 2017, lorsque les logiciels malveillants ont évolué vers une porte arrière Android préinstallée, permettant aux acteurs de la menace de contrôler à distance les appareils, d’injecter plus de logiciels malveillants et de les exploiter pour diverses activités illicites.

“Triada infecte des images du système de périphériques via un tiers pendant le processus de production”, Google noté en juin 2019. “Parfois, les OEM veulent inclure des fonctionnalités qui ne font pas partie du projet Open Source Android, comme Face Unlock. L’OEM peut s’associer à un tiers qui peut développer la fonctionnalité souhaitée et envoyer l’image du système entière à ce fournisseur pour le développement.”

Le géant de la technologie, à l’époque, a également pointé des doigts sur un vendeur qui s’appelait Yehuo ou Blazefire en tant que parti probablement responsable de l’infection de l’image du système retourné par Triada.

Les derniers échantillons de logiciels malveillants analysés par Kaspersky montrent qu’ils sont situés dans le cadre du système, ce qui lui permet de copier à chaque processus du smartphone et de donner aux attaquants un accès et un contrôle sans entraves pour effectuer diverses activités –

  • Voler les comptes d’utilisateurs associés aux messagers instantanés et aux réseaux sociaux, tels que Telegram et Tiktok
  • Envoyez furtivement WhatsApp et Telegram Messages à d’autres contacts au nom de la victime et supprimez-les afin de supprimer les traces
  • Agissez comme un tondeuse en détournant le contenu du presse-papiers avec des adresses de portefeuille de crypto-monnaie pour les remplacer par un portefeuille sous leur contrôle
  • Surveiller l’activité du navigateur Web et remplacer les liens
  • Remplacer les numéros de téléphone lors des appels
  • Intercepter les messages SMS et abonner les victimes à des SMS premium
  • Télécharger d’autres programmes
  • Bloquer les connexions du réseau pour interférer avec le fonctionnement normal des systèmes anti-fraude

Il convient de noter que Triada n’est pas le seul logiciel malveillant qui a été préchargé sur les appareils Android pendant les étapes de fabrication. En mai 2018, Avast révélé Que plusieurs centaines de modèles Android, y compris ceux de ZTE et d’Archos, ont été expédiés préinstallés avec un autre logiciel publicitaire appelé Cosiloon.

“Le Triada Trojan est connu depuis longtemps, et il reste encore l’une des menaces les plus complexes et les plus dangereuses pour Android”, a déclaré le chercheur de Kaspersky, Dmitry Kalinin. “Probablement, à l’une des étapes, la chaîne d’approvisionnement est compromise, donc les magasins peuvent même ne pas soupçonner qu’ils vendent des smartphones avec Triada.”

Cybersécurité

“Dans le même temps, les auteurs de la nouvelle version de Triada monétisent activement leurs efforts. À en juger par l’analyse des transactions, ils ont pu transférer environ 270 000 $ dans diverses crypto-monnaies à leurs portefeuilles cryptographiques [between June 13, 2024, to March 27, 2025]. “

L’émergence d’une version mise à jour de Triada suit la découverte de deux chevaux de Troie bancaires Android différents appelés Crocodilus et Tsarbotce dernier cible plus de 750 applications bancaires, financières et de crypto-monnaie.

Les deux familles de logiciels malveillants sont distribuées via des applications compte-gouttes qui se font passer pour les services Google légitimes. Ils abusent également des services d’accessibilité d’Android pour contrôler à distance les appareils infectés et effectuer des attaques de superposition pour siphon bancaires et détails des cartes de crédit.

La divulgation vient également comme n’importe qui. Voleur de Salvador Cela se fait passer pour une application bancaire qui s’adresse aux utilisateurs indiens (nom du package: “com.indusvalley.appinstall“) et est capable de récolter des informations d’utilisateurs sensibles.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57