Ни для кого не будет секретом, что покупка очень дешевого и явно поддельного телефона Android является плохой идеей. Покупатель не только столкнется с массой технических проблем, но и может обнаружить предустановленное вредоносное ПО, которое заражает практически все процессы, выполняемые телефоном.
Исследователи из «Лаборатории Касперского» обнаружили новый вид трояна Triada, предустановленный на тысячах новых очень дешевых устройств на платформе Android являющихся поддельными версиями популярных моделей. Модульный троян удаленного доступа (RAT), впервые обнаруженный в 2016 году, может красть конфиденциальные данные и криптовалюту, выполняя другие вредоносные действия.
Вредоносное ПО встроено в прошивку зараженного телефона, работает без его обнаружения и предоставляет злоумышленникам полный контроль над устройством.
Список вредоносных действий, которые может выполнять новый штамм Triada, весьма обширен. Он может отправлять и удалять сообщения в WhatsApp, Telegram и других приложениях для обмена сообщениями, выдавая себя за пользователей, взламывать учетные записи социальных сетей, подменять адреса криптовалютных кошельков в приложениях для кражи виртуальной валюты, отслеживать активность в браузере и даже обмениваться ссылками.
Triada также может отслеживать, перехватывать, отправлять и удалять SMS-сообщения, отправлять платные SMS-сообщения для получения платных услуг, загружать и запускать другие программы на зараженном устройстве и блокировать сетевые соединения, чтобы помешать работе систем противодействия мошенничеству.
Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского», сказал, что новая версия Triada, вероятно, устанавливается на поддельные телефоны на одном из ранних этапов цепочки поставок, поэтому магазины, продающие устройства, могут не знать об этом. Конечно, всегда есть вероятность, что некоторые поставщики знали о наличие вредоносного ПО и получали финансовую выгоду от его распространения.
Калинин добавляет, что создатели Triada уже использовали вредоносное ПО для перевода около 270 000 долларов в разных криптовалютах с криптокошельков жертв на свои собственные, хотя фактическая сумма может быть даже выше, поскольку злоумышленники также украли криптовалюту Monero, которую практически невозможно отследить.
Более 2600 человек в разных странах столкнулись с новой версией Triada в период с 13 по 27 марта текущего года, при этом большинство случаев было зарегистрировано в России.
Kaspersky утверждает, что ее мобильное антивирусное программное обеспечение может обнаружить Triada, хотя сделать это смогут не все желающие, так как, например, продукты компании запрещены в США.
