Новите версии на Android значително повишиха сигурността на системата, като забраниха редактирането на системните дялове дори с root привилегии. Това доведе до неочакван резултат: зловредният софтуер, предварително инсталиран във фърмуера на устройството стана почти невъзможен за премахване. Киберпрестъпниците се възползваха от това, като вградиха троянски коне директно в системните приложения.

Според доклад на Kaspersky Lab по този начин се е развила програмата Triada, известна преди това със зловредния софтуер Dwphon. През март експертите откриха нова версия на Triada, вградена във фърмуера на смартфони, продавани чрез онлайн пазари. Троянецът заразява процеса Zygote – родителския процес за всички приложения в Android – осигурявайки пълно компрометиране на системата.

Троянският кон Triada вече използва сложна многоетапна архитектура.

Неговите компоненти се инжектират във всеки процес чрез модифицирана системна библиотека binder.so, вградена във файла boot-framework.oat. Тази библиотека се свързва с процеса Zygote и стартира три модула: помощен модул, основната задна врата mms-core.jar и модул, фокусиран върху кражбата на криптовалути или инсталирането на допълнителен зловреден софтуер.

Основната задна вратичка позволява изтеглянето на нови зловредни модули от контролните сървъри, насочени към характеристиките на устройствата и инсталираните приложения. Специално внимание е отделено на атаките срещу приложения за криптовалути. Злонамерените модули подменят адресите на портфейли за криптовалута в текстови полета и QR кодове, прихващат съдържанието на клипборда, а също така могат да инсталират зловредни APK файлове без взаимодействие с потребителя.

Triada активно атакува популярни приложения: Telegram, WhatsApp, Instagram, браузъри, Skype, TikTok и други. За всяко приложение са разработени персонализирани зловредни модули, които извличат токени на сесии, бисквитки, потребителски данни и дори са способни да прихващат и изтриват съобщения.

Модулите за Telegram например извличат потребителски токени и изтриват съобщения въз основа на предварително зададени шаблони. Модулите за WhatsApp могат да изпращат съобщения от името на жертвата и да изтриват изпратените данни. Модулът за Instagram краде бисквитки от активни сесии, а тези за браузърите могат да подменят отворените връзки към рекламен софтуер или фишинг сайтове.

Triada може също така да превърне заразения смартфон в прокси сървър за пренасочване на злонамерен трафик или в средство за тайно изпращане на SMS-и за абониране за платени услуги. Специално внимание трябва да се обърне на модула Clipper, който е вграден в приложението Google Play и на всеки две секунди проверява клипборда за адреси на криптовалути, за да ги замени с такива, контролирани от нападателите.

Анализът на C2 сървърите на Triada разкри, че през последните месеци нападателите са успели да откраднат над 264 000 долара в криптовалута, използвайки подмяна на адреси и кражба на удостоверения. Според данните от телеметрията са били заразени над 4500 устройства, като по-голямата част от инфекциите са докладвани във Великобритания, Нидерландия, Германия, Бразилия и други държави.

Triada демонстрира високо ниво на подготовка на разработчиците, като в кода на модулите има коментари на китайски език. Налице са и прилики с инфраструктурата на друг проект за зловреден софтуер Vo1d, което показва възможна връзка между групите. Разпространението на заразените устройства е свързано с доставката смартфони, характеризиращи се с фалшиви отпечатъци на фърмуера. Възможно е доставчиците на устройства да не са знаели за заплахата.