Kaspersky издаде предупреждение за заплаха за киберсигурността, която засяга фалшиви телефони с Android със зловреден софтуер, продаван чрез онлайн платформи. Тези устройства, които имитират популярни модели и се продават на примамливи цени, са заразени фабрично с троянски кон, наречен Triada. Този вариант е интегриран във фърмуера на телефона, като му дава разширени възможности за избягване на откриване и пълен контрол върху системата.
Зловреден софтуер не само компрометира поверителността на потребителите, но също така е насочен към кражба на криптовалута, включващ функции, които позволяват прихващане на транзакции и модифициране на адреси на цифрови портфейли, без собственикът на терминала да забележи. Освен това може да управлява SMS съобщения, да прихваща обаждания, да манипулира социални мрежи и да изтегля други злонамерени програми.
Как Triada работи от системата
Triada работи от първите слоеве на операционната система, което му позволява да работи във фонов режим на всички процеси, без да предизвиква подозрение. Той е вграден във фърмуера в началото на веригата за доставки, което означава, че телефонът може да бъде компрометиран дори преди да бъде включен от крайния потребител. Тази техника прави откриването и елиминирането му с конвенционални методи изключително трудно.
Веднъж активиран, троянският кон може да фалшифицира съобщения в приложения като WhatsApp и Telegram, контролират браузъра на устройството, инсталират допълнителен софтуер без съгласие и дори манипулират телефонни обаждания, като пренасочват разговорите към номера под контрола на нападателите. Важно е потребителите на Android да вземат предвид инсталирайте добра антивирусна програма за защита срещу заплахи като тази.
Сред най-опасните функции на зловреден софтуер са:
- Прихващане и модифициране на транзакции с криптовалута, промяна на адресите на местоназначение.
- Достъп и кражба на идентификационни данни в приложения за съобщения като Telegram, Facebook или TikTok.
- Управление на SMS съобщения- Четете, изтривайте, прихващайте и изпращайте дори премиум съобщения, които включват такси.
- Инсталиране на други злонамерени файлове във фонов режим без знанието на потребителя.
- Частично блокиране на достъпа до Интернет за предотвратяване на актуализиране на софтуер или изтегляне на решения за сигурност.
Засегнати потребители и глобален обхват
Според изследователите са открити повече от 2.600 потвърдени случая на мобилни телефони, заразени с Triada в страни като Русия, Бразилия, Германия, Казахстан и Индонезия. Всичко показва, че злонамереният софтуер се разпространява особено чрез неоторизирани онлайн магазини, където се появяват фалшиви Android терминали на цени доста под обичайните.
Икономическите данни също са смущаващи. Смята се, че престъпниците са успели да прехвърлят най-малко $270.000 XNUMX в криптовалути благодарение на този метод. Дмитрий Калинин, анализатор в Kaspersky, отбеляза, че „истинската сума вероятно е дори по-висока, тъй като част от откраднатите средства включват Monero, трудна за проследяване криптовалута.“
Нападателите са се възползвали от този канал за масово разпространение, за да компрометират устройства, преди те да достигнат до ръцете на потребителите. Много пъти дори продавачите на тези мобилни телефони не знаят, че предлагат заразени единици. Освен това е важно потребителите да бъдат информирани как да откриват и премахват пиратски приложения на своите устройства. За да направите това, можете да се консултирате с нашето ръководство за откриване на пиратски приложения.
Стар познайник с нова сила
Triada не е нов троянски кон. Първоначално е открит от Kaspersky през 2016 г и дори тогава се смяташе за една от най-сложните мобилни заплахи. С течение на времето той еволюира както в техники, така и в способности, адаптирайки се към най-новите системи и нови канали за разпространение.
В първите си версии този зловреден софтуер беше проникнат чрез злонамерени приложения или измамни страници за изтегляне, но в сегашната си форма Той вече е интегриран от фабриката в операционната система на някои фалшиви телефони с Android.. Това го прави много по-скрита, устойчива и опасна заплаха.
Експертите по киберсигурност го класифицират като „Backdoor.AndroidOS.Triada.z“, отбелязвайки, че е достигнал ниво на сложност, по-високо от много конвенционални мобилни заплахи. За да научите повече за режима на разширена защита на Android, можете да разгледате нашето ръководство за разширен режим на защита.
Препоръки, за да не попаднете в капана
Основната превантивна мярка е много проста: избягвайте да купувате мобилни телефони от онлайн магазини със съмнителна репутация., колкото и привлекателна да изглежда офертата. Гаранции за произхода и софтуера на устройството дават само официални дистрибутори.
Инсталирайте надеждни решения за мобилна сигурност след закупуване на телефона също е силно препоръчителна практика. Тези инструменти могат да открият необичайно поведение или злонамерени опити за свързване, дори ако зловреден софтуер вече е вграден в системата.
Потребителите също трябва периодично преглеждайте разрешенията, които предоставяте на приложенията, деинсталирайте тези, за които не сте сигурни, и бъдете в крак с актуализациите на операционната система.
Няма да навреди да активирате функции като удостоверяване в две стъпки или да ограничите достъпа до чувствителни функции от непроверени приложения, особено когато става въпрос за приложения, свързани с криптовалути или финансова информация.
Триада демонстрира как една древна заплаха може да продължи да се развива и да се адаптира към новите времена, като се възползва от слабостите на сивия пазар за мобилни устройства, за да зарази хиляди нищо неподозиращи потребители. Използването на предварително инсталиран зловреден софтуер на фалшиви устройства представлява нарастваща тенденция в киберпрестъпността. Трудността при откриването на този тип заплахи и нарастващото търсене на по-достъпни устройства означават, че атаките с фърмуер стават все по-разпространена техника. Изправени пред този сценарий, вниманието, превенцията и използването на инструменти за киберсигурност продължават да бъдат най-добрата защита за всеки потребител на Android.
