Поделиться
На новых смартфонах, продающихся в России, нашли предустановленный троян, крадущий аккаунты Telegram и TikTok
Сотрудники «Лаборатории Касперского» сообщили о выявлении опасного вируса в смартфонах на платформе Android, предоставляющего злоумышленникам доступ к криптовалюте и аккаунтам пользователей. Так, вирус может украсть аккаунты в социальных сетях TikTok и Telegram.
Обнаружен вирус с модификацией
На новых смартфонах нашли вирус, крадущий аккаунты в TikTok и Telegram, об этом сообщило РБК.
На новых смартфонах с операционной системой (ОС) Android нашли троян-вирус Triada, крадущий аккаунты в TikTok и Telegram и криптовалюту, а также подменяющий номера. Отмечается, что речь идет о новой модификации вируса. Triada предназначен для показа навязчивой рекламы на устройствах и рассылки спам-сообщений.
Triada — это модульный троян, использующий права суперпользователя, чтобы заменять системные файлы, и исполняющий другие хитрые трюки, чтобы оставаться максимально незаметным. Стоит одному такому троянцу попасть в систему пользователя-жертвы, как через несколько минут в ней появляются и все остальные. Попав в устройство, эти троянцы первым делом собирают данные о системе: модель устройства, версия ОС, объем SD-карты, список установленных приложений и тому подобное. Затем зловред отправляет собранные данные на командный сервер. Получив сообщение от троянца, командный сервер в ответ посылает ему файл с конфигурациями, содержащий персональный ID зараженного устройства (ID1;Samsung Galaxy S24;Russia-Krasnodar) и набор настроек: через какие временные промежутки зловред должен будет связываться с сервером, какие модули ему нужно установить и тому подобное. После установки модулей они стираются из памяти устройства и остаются только в оперативной памяти, именно так вирус прячет себя от пользователя-жертвы.
Вирус чаще всего оказывается установленной на поддельные смартфоны, продающиеся через неавторизованные онлайн-магазины по сниженным ценам. Злоумышленники получают доступ к зараженному устройству, что позволяет им красть аккаунты в социальных сетях и мессенджерах TikTok или же Telegram, подменять номера во время звонков, следить за активностью пользователя в браузерах.
«Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что продают смартфоны с Triada», — рассказал эксперт по кибербезопасности Дмитрий Калинин.
По данным «Лаборатории Касперского», от новой версии Triada пострадали более 2,6 тыс. пользователей в разных странах, по большей части в России. С июня 2024 г. по март 2025 г. создатели вируса перевели на свои криптокошельки около $270 тыс. в разной криптовалюте. При этом, отмечают в специалисты «Лаборатории Касперского», в реальности сумма может быть больше: криптовалюту Monero невозможно отследить. Эксперты рекомендовали покупать смартфоны только у авторизованных продавцов и устанавливать на устройства защитные решения.
Предустановленный вирус
В 2019 г. хакеры нашли способ встраивать вредоносное программное обеспечение (ПО) в смартфоны на платформе Android еще на этапе их производства, до того, как устройства попадали в руки пользователей и активировались. Эту схему удалось раскрыть компании Google.
ИТ-атака осуществлялась через сторонних ПО-поставщиков, которые, вероятно, участвовали в цепочке создания предустановленного софта для Android-устройств. Сотрудники Google не предоставили подробностей о том, каким образом хакеры взаимодействовали с разработчиками или внедряли вирус в операционную систему. Известно, что скрытное заражение могло происходить как непосредственно на этапе производства гаджетов, так и позже — при скачивании пользователями обновлений прошивки. При этом компания не уточнила, какие именно производители смартфонов пострадали от этой кибератаки, оставив открытым вопрос о масштабах проблемы.
Зараженные прошивки
В 2017 г. аналитики компании Dr.Web, известной своими антивирусными решениями, обнаружили эту вредоносную программу в прошивках нескольких Android-устройств. Тогда они выяснили, что Triada действует особенно коварно: сначала троян заражает ключевой компонент ОС, который отвечает за взаимодействие с приложениями, а затем активирует дополнительные вредоносные модули.
По данным Dr.Web, с помощью Triada злоумышленники могли не только показывать рекламу, но и похищать конфиденциальную информацию — например, данные банковских карт, личную переписку и другие чувствительные сведения. Среди зараженных устройств тогда назывались китайские модели, такие как Leagoo M5 Plus, Leagoo M8, Nomu S10 и Nomu S20. В качестве решения Dr.Web рекомендовала пользователям устанавливать «заведомо чистую» версию прошивки Android, чтобы избавиться от встроенного вируса.
Короткая ссылка
