Triada 恶意软件家族出现了一种复杂的新变种，其目标瞄准 Android 设备，具备拦截和修改拨出电话的能力。

在拨打电话时，这种恶意软件会悄然用欺诈性号码替换掉合法的电话号码，将用户的通话重定向到收费高昂的号码上，或者能够窃听敏感的通话内容。

该恶意软件在后台秘密运行，使得大多数用户完全没有意识到自己的通话正在被操控。

初始感染通常通过非官方应用商店和受感染的应用程序发生，这些应用程序在安装时请求过多的权限。

一旦安装成功，该恶意软件就会利用权限提升漏洞获取系统级别的访问权限，从而能够监控和修改 Android 系统的电话子系统。

攻击者在设计这种攻击手段时展现出了相当高的技术水平。

卡巴斯基的研究人员在调查了电信运营商报告的不异常呼叫重定向模式后，发现了这一威胁。

他们的分析显示，该恶意软件使用了一种前所未见的技术来挂钩Android拨号器框架，这标志着移动设备威胁能力有了重大的发展变化。

在东欧，已有数千台设备遭到了感染，而且感染情况正逐渐蔓延到西欧和北美。

因欺诈性的高额收费电话造成的经济损失估计已超过 200 万美元，此外，在被拦截的商务通话中，还存在敏感信息被泄露的额外风险。

感染机制分析

其感染机制依赖于通过将恶意代码注入拨号器进程来利用 Android 电话服务。

@Overridepublic Boolean onOutgoingCall(String number, Intent intent) {

String modifiedNumber = checkAndReplaceNumber(number);

intent.putExtra(“android.intent.extra.PHONE_NUMBER”, modifiedNumber);

return true;}

当用户拨打电话时，恶意软件会拦截拨出的号码，并将其与一个由远程控制的目标号码及其替换号码的数据库进行比对。

这种技术使得攻击者能够有选择地针对特定的组织或个人，同时通过随机抽样来避免被检测到。

卡巴斯基公司建议用户只从授权经销商处购买智能手机，并部署如卡巴斯基Android版本等安全解决方案来检测此类威胁。

随着 Triada 恶意软件能力的不断演变，它一直提醒着人们，移动生态系统中存在着供应链方面的漏洞。