Versi palsu dari model ponsel cerdas populer yang dijual dengan harga lebih rendah telah ditemukan dimuat dengan versi modifikasi malware android yang disebut Triada.
“Lebih dari 2.600 pengguna di berbagai negara telah menemukan versi baru Triada, mayoritas di Rusia,” kata Kaspersky dalam sebuah laporan. Infeksi dicatat antara 13 dan 27 Maret 2025.
Triada adalah nama yang diberikan kepada keluarga malware Android modular yang pertama kali ditemukan oleh perusahaan cybersecurity Rusia pada Maret 2016. Trojan akses jarak jauh (tikus), ia diperlengkapi untuk mencuri berbagai informasi sensitif, serta meminta perangkat yang terinfeksi ke dalam botnet untuk kegiatan jahat lainnya.
Sementara malware sebelumnya diamati didistribusikan melalui aplikasi menengah yang diterbitkan di Google Play Store (dan di tempat lain) yang memperoleh akses root ke ponsel yang dikompromikan, kampanye selanjutnya telah memanfaatkan mod WhatsApp seperti FMWHATSAPP dan YowhatsApp sebagai vektor propagasi.
Selama bertahun-tahun, versi Triada yang diubah juga telah menemukan jalan mereka ke tablet Android off-merek, kotak TV, dan proyektor digital sebagai bagian dari skema penipuan yang meluas yang disebut Badbox yang telah memanfaatkan kompromi rantai pasokan perangkat keras dan pasar pihak ketiga untuk akses awal.
Perilaku ini pertama kali diamati pada tahun 2017, ketika malware berevolusi menjadi backdoor kerangka Android yang sudah dipasang sebelumnya, memungkinkan aktor ancaman untuk mengontrol perangkat dari jarak jauh, menyuntikkan lebih banyak malware, dan mengeksploitasi mereka untuk berbagai kegiatan terlarang.
“Triada menginfeksi gambar sistem perangkat melalui pihak ketiga selama proses produksi,” Google mencatat pada Juni 2019. “Kadang-kadang OEM ingin memasukkan fitur yang bukan bagian dari proyek open source Android, seperti Face Unlock. OEM mungkin bermitra dengan pihak ketiga yang dapat mengembangkan fitur yang diinginkan dan mengirim seluruh gambar sistem ke vendor untuk pengembangan.”
Raksasa teknologi itu, pada waktu itu, juga menunjuk ke vendor yang menggunakan nama Yehuo atau Blazefire sebagai partai yang kemungkinan bertanggung jawab untuk menginfeksi gambar sistem yang dikembalikan dengan Triada.
Sampel terbaru dari malware yang dianalisis oleh Kaspersky menunjukkan bahwa mereka terletak di kerangka sistem, sehingga memungkinkannya untuk disalin ke setiap proses pada smartphone dan memberi para penyerang akses dan kontrol yang tidak terkekang untuk melakukan berbagai kegiatan –
- Mencuri akun pengguna yang terkait dengan utusan instan dan jejaring sosial, seperti telegram dan tiktok
- Kirim pesan whatsapp dan telegram secara diam -diam ke kontak lain atas nama korban dan hapus untuk menghapus jejak
- Bertindak sebagai clipper dengan membajak konten clipboard dengan alamat dompet cryptocurrency untuk menggantinya dengan dompet di bawah kendali mereka
- Pantau aktivitas browser web dan ganti tautan
- Ganti nomor telepon selama panggilan
- Mencegat pesan SMS dan berlangganan korban ke SMS premium
- Unduh program lain
- Memblokir koneksi jaringan untuk mengganggu fungsi normal sistem anti-penipuan
Perlu dicatat bahwa Triada bukan satu -satunya malware yang telah dimuat di perangkat Android selama tahap manufaktur. Pada Mei 2018, Avast mengungkapkan bahwa beberapa ratus model Android, termasuk yang dari seperti ZTE dan Archos, dikirim pra-instal dengan adware lain yang disebut Cosiloon.
“Triada Trojan telah dikenal sejak lama, dan masih tetap menjadi salah satu ancaman paling kompleks dan berbahaya bagi Android,” kata peneliti Kaspersky Dmitry Kalinin. “Mungkin, pada salah satu tahap, rantai pasokan dikompromikan, sehingga toko bahkan mungkin tidak curiga bahwa mereka menjual smartphone dengan Triada.”
“Pada saat yang sama, penulis versi baru Triada secara aktif memonetisasi upaya mereka. Dilihat dari analisis transaksi, mereka dapat mentransfer sekitar $ 270.000 dalam berbagai cryptocurrency ke dompet kripto mereka [between June 13, 2024, to March 27, 2025]. “
Munculnya versi Triada yang diperbarui mengikuti penemuan dua Trojan perbankan Android yang berbeda yang disebut Crocodilus dan Tsarbot, yang terakhir yang menargetkan lebih dari 750 aplikasi perbankan, keuangan, dan cryptocurrency.
Kedua keluarga malware didistribusikan melalui aplikasi penetes yang menyamar sebagai layanan Google yang sah. Mereka juga menyalahgunakan layanan aksesibilitas Android untuk mengontrol perangkat yang terinfeksi dari jarak jauh, dan melakukan serangan overlay terhadap kredensial perbankan dan detail kartu kredit.
Pengungkapan ini juga datang sebagai any.Run merinci strain malware Android baru yang dijuluki Salvador Stealer yang menyamar sebagai aplikasi perbankan yang melayani pengguna India (nama paket: “com.indusvalley.appinstall”) dan mampu memanen informasi pengguna yang sensitif.
