Ha sido identificada una nueva versión del troyano Triada, integrada de forma oculta en el firmware de smartphones Android falsificados. Se trata de un malware embebido en el sistema de firmware que permite el robo de criptomonedas, redirección de llamadas y secuestro de cuentas en redes sociales. El virus, presente en más de 2.600 dispositivos, concede el control total a los atacantes sin levantar sospechas. Su presencia apunta a una grave brecha en la cadena de suministro tecnológica.
La compañía de ciberseguridad Kaspersky ha sido la descubridora de esta nueva y sofisticada variante del troyano Triada preinstalada en smartphones Android falsificados, presuntamente vendidos a través de distribuidores no autorizados.. Las cifras más altas de usuarios atacados se han registrado en Rusia, Brasil, Kazajistán, Alemania e Indonesia.
Integrado en la estructura del sistema
A diferencia del malware móvil habitual que se entrega mediante aplicaciones maliciosas, esta variante de Triada está integrada en la estructura del sistema, infiltrándose en cada proceso en ejecución. Esto facilita una amplia gama de actividades maliciosas:
- Robo de cuentas de mensajería y redes sociales, incluidas Telegram, TikTok, Facebook e Instagram.
- Envío y eliminación de mensajes en apps como WhatsApp y Telegram.
- Suplantación de direcciones de monederos de criptomonedas.
- Redirección de llamadas telefónicas mediante suplantación de ID de llamada.
- Monitorización de la actividad del navegador e inyección de enlaces.
- Intercepción, envío y eliminación de mensajes SMS.
- Activación de cargos por SMS premium.
- Descarga y ejecución de cargas maliciosas adicionales.
- Bloqueo de conexiones de red para posiblemente eludir sistemas antifraude.
Las soluciones de Kaspersky detectan esta variante como Backdoor.AndroidOS.Triada.z. Descubierto por primera vez en 2016, Triada ha evolucionado de manera constante, aprovechando privilegios a nivel del sistema para ejecutar fraudes, secuestrar autenticaciones por SMS y evadir la detección. Esta última campaña supone una escalada preocupante, porque los atacantes podrían estar explotando fallos en la cadena de suministro para desplegar malware a nivel de firmware en dispositivos falsificados.