Новая угроза для Android: троян Triada крадет криптовалюту и подменяет номера, внедряясь в смартфоны ещё до продажи

Опубликовано: April 5, 2025

Специалисты «Лаборатории Касперского» выявили обновлённую версию троянца Triada. Этот вредоносный софт был обнаружен в прошивках новых смартфонов на базе Android, которые внешне напоминают популярные модели. Такие устройства можно приобрести в неофициальных интернет-магазинах по сниженным ценам. По информации, 2600 пользователей уже столкнулись с новой версией Triada, и большинство из них находятся в России.

Троянец интегрирован в системный фреймворк Android, что подразумевает его запуск вместе с любым процессом на устройстве. Вредонос обладает широкими функциональными возможностями и предоставляет злоумышленникам полный контроль над заражённым устройством. Triada может:

— красть аккаунты из мессенджеров и социальных сетей, включая Telegram и TikTok;

— отправлять сообщения от имени пользователя через WhatsApp и Telegram, а затем удалять их;

— похищать криптовалюту, изменяя адреса кошельков;

— отслеживать действия в браузере и заменять ссылки;

— подменять номера телефонов во время звонков;

— перехватывать, отправлять и удалять SMS-сообщения;

— давать разрешение на отправку платных премиум-SMS;

— загружать и запускать другие вредоносные приложения;

— блокировать сетевые соединения, что мешает работе систем защиты.

Triada проникает в смартфон ещё до его покупки. По словам экспертов, заражение может произойти на этапе поставки, и продавцы зачастую не догадываются о его наличии. Вредонос активно используется для извлечения финансовой выгоды. Согласно анализу транзакций, его создатели перевели 270 тысяч долларов в криптовалюте на свои счёта. Часть этих средств, возможно, была получена в Monero – криптовалюте, которую невозможно отследить. Решения «Лаборатории Касперского» классифицируют эту версию троянца как Backdoor.AndroidOS.Triada.z.

Специалисты «Лаборатории Касперского» предостерегают: предустановленные вредоносные программы продолжают представлять опасность. В первые три месяца 2025 года несколько тысяч пользователей в России столкнулись с такими угрозами.