29/04/25
Новые версии Android значительно повысили защиту системы, запретив редактирование системных разделов даже с правами суперпользователя. Это привело к неожиданному результату: предустановленные в прошивке устройства вредоносные программы стало практически невозможно удалить. Этим воспользовались киберпреступники, встраивая трояны прямо в системные приложения, пишет Securitylab.
Согласно отчету Лаборатории Касперского , именно так эволюционировала программа Triada, известная ранее благодаря загрузчику Dwphon. В марте 2025 года специалисты зафиксировали новую версию Triada, встроенную в прошивку поддельных смартфонов, продававшихся через онлайн-площадки. Троян заражал процесс Zygote — родительский для всех приложений в Android — обеспечивая полную компрометацию системы.
Его компоненты внедряются в каждый процесс через модифицированную системную библиотеку binder.so, встроенную в файл boot-framework.oat. Эта библиотека подключается к процессу Zygote и запускает три модуля: вспомогательный модуль, основной бэкдор mms-core.jar и модуль, ориентированный на кражу криптовалют или установку дополнительных вредоносных программ.
Вспомогательный модуль регистрирует перехватчик вызовов методов в процессах приложений, облегчая последующую загрузку вредоносных функций. Основной бэкдор позволяет загружать новые вредоносные модули с серверов управления, ориентируясь на характеристики устройства и установленные приложения.
Особое внимание уделено атакам на приложения для работы с криптовалютой. Вредоносные модули подменяют адреса криптокошельков в текстовых полях и QR-кодах, перехватывают содержимое буфера обмена, а также могут устанавливать вредоносные APK без участия пользователя.
Triada активно атакует популярные приложения: Telegram, WhatsApp, Instagram, браузеры, Skype, LINE, TikTok и другие. Для каждого приложения разработаны индивидуальные вредоносные модули, которые извлекают сессионные токены, куки, пользовательские данные и даже способны перехватывать и удалять сообщения.
Модули для Telegram, например, извлекают пользовательские токены и удаляют сообщения по заданным шаблонам. Модули для WhatsApp могут отправлять сообщения от имени жертвы и удалять отправленные данные. В Instagram* крадутся файлы с куками активных сессий, а в браузерах — происходит подмена открываемых ссылок на рекламные или фишинговые ресурсы.
Также Triada может превратить заражённый смартфон в прокси-сервер для перенаправления трафика злоумышленников или в средство скрытой отправки SMS-сообщений для подписки на платные услуги. В некоторых случаях модуль изменяет политику отправки премиум-SMS, чтобы обходить системные ограничения.
Особое внимание стоит уделить модулю Clipper, который внедряется в приложение Google Play и каждые две секунды проверяет буфер обмена на наличие криптовалютных адресов для их замены на подконтрольные атакующим.
Анализ C2-серверов Triada показал, что злоумышленники смогли украсть свыше $264 000 в криптовалюте за последние месяцы, используя подмену адресов и кражу учётных данных. По данным телеметрии, заражено более 4500 устройств, при этом основное количество заражений зафиксировано в Великобритании, Нидерландах, Германии, Бразилии и других странах.
Triada демонстрирует высокий уровень подготовки разработчиков, в коде модулей присутствуют комментарии на китайском языке. Также были замечены совпадения с инфраструктурой другого вредоносного проекта Vo1d, что указывает на возможную связь между группами. Распространение заражённых устройств связано с поставками поддельных смартфонов, отличающихся поддельными отпечатками прошивки. Вполне возможно, что поставщики устройств не осознавали наличие угрозы.
