供应链遭入侵的预装威胁
卡巴斯基实验室研究人员发现,新型Triada木马变种已预装在数千台安卓设备中,设备完成初始设置便会实施数据窃取。2025年3月13日至27日期间,仅在俄罗斯就检测到超过2600例感染案例。
该恶意软件存在于仿冒热门机型的山寨安卓设备中。研究人员推测,幕后黑手可能已入侵供应链环节,致使零售商在不知情的情况下销售被Triada感染的智能手机。
系统级植入的全面控制
卡巴斯基报告指出:”新版恶意软件通过受感染设备的固件传播,驻留在系统框架层。这意味着Triada能渗透到智能手机的每个进程中。”该恶意软件功能强大,可使攻击者几乎完全控制设备。
植入系统框架的木马使攻击者获得设备完全控制权,能够窃取账户、发送消息、盗取加密货币、监控浏览记录、拦截短信等。卡巴斯基实验室网络安全专家德米特里·卡列宁表示:”Triada新版本的开发者正积极变现。根据交易分析,他们已向加密钱包转移约27万美元的各种加密货币。但实际金额可能更大,攻击者还瞄准了无法追踪的门罗币。”
历史沿袭与技术特性
2018年3月,Dr.Web反病毒公司的研究人员曾发现42款低价安卓智能手机出厂时预装了Android.Triada.231银行木马。Triada木马最早于2016年由卡巴斯基实验室发现,当时被视为最先进的移动端威胁。
该木马专门设计用于实施金融欺诈,通常劫持金融类短信交易。其最显著特点是模块化架构,理论上具备广泛攻击能力。Triada利用Zygote父进程在所有软件环境中执行代码,意味着威胁能渗透每个应用程序。彻底清除的唯一方法是恢复出厂设置并重装操作系统。
Dr.Web研究人员还在多个小众品牌(包括Advan、Cherry Mobile、Doogee和Leagoo)的新出厂设备中发现预装Triada木马。2017年7月,Leagoo M5 Plus、Leagoo M8、Nomu S10和Nomu S20等多款机型均被检出携带该木马。调查显示,感染源可追溯至上海某软件开发人员。
防护建议
专家建议从授权经销商处购买智能手机,并立即安装卡巴斯基安卓版等安全解决方案。
