卡巴斯基实验室在最新发布的报告中警告称,臭名昭著的安卓恶意软件Triada木马正经历着令人担忧的演变。Triada木马已适应利用移动生态系统中最新的保护措施。研究人员发现,最新版本的Triada木马目前已被预装到假冒安卓设备的固件中,这使得它们几乎无法在不完全重装系统的情况下被清除。
卡巴斯基报告称:“我们在一些设备上发现了新版本的Triada木马病毒,这些设备的固件甚至在上市销售前就已被感染。这些设备是热门智能手机品牌的仿制品,在我们进行研究时,它们仍然可以在各种在线市场上买到。”
Triada最初利用的是旧版 Android 系统中的 root漏洞,随着制造商加强系统安全,Triada 也进行了改进。如今,攻击者通过在系统分区中嵌入恶意组件,完全绕过操作系统的限制,感染设备的核心——Zygote 进程——所有 Android 应用程序的父进程。
卡巴斯基表示:“攻击者现在将复杂的多阶段加载程序直接嵌入到设备固件中。这使得木马能够感染 Zygote 进程,从而危及系统上运行的每个应用程序。 ”
通过这种方法,Triada 获得了全面的控制权,将恶意负载加载到用户启动的任何应用程序中。
Triada 的模块化设计使其能够根据目标应用程序实施定制攻击。根据卡巴斯基的发现:
- 加密货币盗窃:Triada 修改剪贴板数据和界面元素,在转账过程中交换钱包地址以窃取资金。帐户劫持:它窃取 Telegram、Instagram、WhatsApp、Facebook 等的登录凭据和会话令牌。浏览器操纵:它会拦截并替换 Chrome 和 Firefox 等浏览器中点击的链接,从而打开网络钓鱼攻击的大门。短信和电话拦截:劫持短信以窃取验证码或注册未经授权的服务。设备劫持:它将受感染的设备变成反向代理,使攻击者能够通过受害设备路由恶意流量。
卡巴斯基解释说:“该恶意软件的模块化架构使攻击者几乎可以不受限制地控制系统,使他们能够根据特定应用程序定制功能。 ”
感染是通过嵌入到设备框架中的恶意系统库 (binder.so) 发起的。之后,恶意软件会根据正在运行的应用程序的包名称,精心选择要部署的模块。例如:
- Binance 和 KuCoin 等加密货币应用程序是加密货币窃取者的目标。Telegram 和 WhatsApp 等消息应用程序感染了收集登录令牌和劫持对话的模块。浏览器成为注入和交换恶意链接的目标。
值得注意的是,该恶意软件与 C2 服务器动态通信,使用强加密(AES-128、RSA)下载针对特定应用程序定制的附加模块。
卡巴斯基强调, “每个额外的恶意软件负载都可以使用该应用程序可用的所有权限”,一旦 Triada 渗透到应用程序的进程中,就无需提升权限。
此次行动规模巨大。卡巴斯基遥测系统检测到全球有超过 4,500 台设备受感染,其中俄罗斯、英国、德国、荷兰和巴西的感染率较高。加密货币分析显示,截至 2025 年 6 月,攻击者通过恶意活动已累计获利超过 264,000 美元。
或许最令人担忧的是攻击媒介。受感染的设备通常是伪装成知名品牌的假冒产品,在不知情的情况下通过在线市场进行销售:“供应链中的某个环节很可能受到了攻击,在线商店的供应商可能并未意识到他们正在销售感染了 Triada 的假冒设备。”
这强调了消费者从可信来源购买设备并验证固件真实性的迫切需要。
如果您的设备怀疑感染了 Triada,卡巴斯基建议:
- 直接从官方来源安装干净的固件。重新安装固件之前,避免使用消息应用程序、加密钱包或社交媒体客户端。使用信誉良好的移动安全解决方案来检测嵌入式威胁。
卡巴斯基总结道:“新版本的 Triada 木马是一个多阶段后门,使攻击者可以无限制地控制受害者的设备。 ”
