Düşük fiyatlarla satılan popüler akıllı telefon modellerinin sahte versiyonlarının, Android kötü amaçlı yazılımın değiştirilmiş bir sürümüyle önceden yüklendiği bulunmuştur. Üçlü.
Kaspersky bir raporda, “Farklı ülkelerdeki 2.600’den fazla kullanıcı, Rusya’daki çoğunluk olan Triada’nın yeni versiyonuyla karşılaştı.” Dedi. Enfeksiyonlar 13 ve 27 Mart 2025 arasında kaydedildi.
Triada, ilk olarak Mart 2016’da Rus siber güvenlik şirketi tarafından keşfedilen modüler bir Android kötü amaçlı yazılım ailesine verilen isimdir. Uzaktan erişim Trojan (sıçan), çok çeşitli hassas bilgileri çalmak ve diğer kötü niyetli faaliyetler için bir botnet içine dahil etmek için donatılmıştır.
Kötü amaçlı yazılımların daha önce Google Play Store’da (ve başka yerlerde) yayınlanan ara uygulamalar aracılığıyla dağıtıldığı görülürken, müteahhit telefonlara kök erişimi kazanmıştır, sonraki kampanyalar bir yayılma vektörü olarak FMWhatsapp ve Yowhatsapp gibi WhatsApp modlarından yararlanmıştır.
Yıllar geçtikçe, Triada’nın değiştirilmiş versiyonları, başlangıç erişimi için donanım tedarik zinciri uzlaşmaları ve üçüncü taraf pazar yerlerinden yararlanan Badbox adlı yaygın bir dolandırıcılık planının bir parçası olarak marka dışı Android tabletlere, TV kutularına ve dijital projektörlere de girdi.
Bu davranış ilk olarak, kötü amaçlı yazılımların önceden yüklenmiş bir Android çerçeve arka kapısına evrimleştiği 2017’de gözlemlendi ve tehdit aktörlerinin cihazları uzaktan kontrol etmesine, daha fazla kötü amaçlı yazılım enjekte etmesine ve çeşitli yasadışı faaliyetler için bunları kullanmasına izin verdi.
“Triada, üretim sürecinde bir üçüncü taraf aracılığıyla cihaz sistem görüntülerini enfekte ediyor,” Google Haziran 2019’da belirtti. “Bazen OEM’ler, Android açık kaynak projesinin yüz kilit açması gibi bir parçası olmayan özellikleri dahil etmek ister. OEM, istenen özelliği geliştirebilen ve tüm sistem görüntüsünü geliştirme için bu satıcıya gönderebilen bir üçüncü tarafla ortaklık yapabilir.”
O zaman teknoloji devi, Yehuo veya Blazefire adıyla geri dönen sistem görüntüsünü Triada ile enfekte etmekten sorumlu olan bir satıcıya da parmaklarını işaret etti.
Kaspersky tarafından analiz edilen kötü amaçlı yazılımların en son örnekleri, sistem çerçevesinde bulunduklarını, böylece akıllı telefondaki her işleme kopyalanmasına izin verdiğini ve saldırganlara çeşitli etkinlikler gerçekleştirmeleri için sınırsız erişim ve kontrol sağladığını gösteriyor –
- Telegram ve Tiktok gibi anlık haberciler ve sosyal ağlarla ilişkili kullanıcı hesaplarını çalın
- Gizli bir şekilde WhatsApp ve Telegram mesajlarını kurban adına diğer kişilere gönderin ve izleri kaldırmak için bunları silin
- Kripto para birimi cüzdanı adresleri ile pano içeriğini kaçırarak, kontrolleri altında bir cüzdanla değiştirmek
- Web tarayıcı etkinliğini izleyin ve bağlantıları değiştirin
- Aramalar sırasında telefon numaralarını değiştirin
- SMS mesajlarını kesiş ve kurbanları premium SMS’ye abone olun
- Diğer programları indirin
- Kaçavarla mücadele sistemlerinin normal işleyişine müdahale etmek için ağ bağlantılarını engelleyin
Üretim aşamalarında Android cihazlarda önceden yüklenen tek kötü amaçlı yazılım olmadığını belirtmek gerekir. Mayıs 2018’de Avast, Like ZTE ve Archos’tan olanlar da dahil olmak üzere birkaç yüz Android modelinin Cosiloon adlı başka bir reklam yazılımı ile önceden yüklendiğini açıkladı.
Kaspersky araştırmacısı Dmitry Kalinin, “Triada Truva atı uzun zamandır biliniyor ve hala Android için en karmaşık ve tehlikeli tehditlerden biri olmaya devam ediyor.” Dedi. “Muhtemelen, aşamalardan birinde, tedarik zinciri tehlikeye atılır, bu nedenle mağazalar Triada ile akıllı telefon sattıklarından şüphelenmeyebilir.”
“Aynı zamanda, Triada’nın yeni versiyonunun yazarları çabalarından aktif olarak para kazanıyorlar. İşlemlerin analizine göre, kripto cüzdanlarına çeşitli kripto para birimlerinde yaklaşık 270.000 dolar aktarabildiler. [between June 13, 2024, to March 27, 2025]. “
Triada’nın güncellenmiş bir versiyonunun ortaya çıkması, ikincisi 750’den fazla bankacılık, finans ve kripto para birimi uygulamasını hedefleyen Crocodilus ve Tsarbot adı verilen iki farklı Android bankacılık truva atının keşfini takip ediyor.
Her iki kötü amaçlı yazılım ailesi, meşru Google hizmetlerini taklit eden damlalık uygulamaları aracılığıyla dağıtılır. Ayrıca, enfekte olmuş cihazları uzaktan kontrol etmek için Android’in erişilebilirlik hizmetlerini kötüye kullanırlar ve Sifon bankacılık kimlik bilgilerine ve kredi kartı ayrıntılarına bindirme saldırıları yaparlar.
Açıklama ayrıca herhangi bir şekilde gelir.