Se ha encontrado que las versiones falsificadas de los modelos populares de teléfonos inteligentes a precios reducidos están precargados con una versión modificada de un malware Android llamado Triada.
«Más de 2.600 usuarios en diferentes países han encontrado la nueva versión de Triada, la mayoría en Rusia», dijo Kaspersky en un informe. Las infecciones se registraron entre el 13 y el 27 de marzo de 2025.
Triada es el nombre dado a una familia modular de malware de Android que fue descubierta por primera vez por la compañía de seguridad cibernética rusa en marzo de 2016. Un troyano de acceso remoto (rata), está equipado para robar una amplia gama de información confidencial, así como alistar dispositivos infectados en un botón para otras actividades maliciosas.
Mientras que el malware se observó previamente distribuirse a través de aplicaciones intermedias publicadas en Google Play Store (y en otros lugares) que obtuvieron acceso raíz a los teléfonos comprometidos, las campañas posteriores han aprovechado las modificaciones de WhatsApp como FmwhatsApp y YowhatsApp como vector de propagación.
A lo largo de los años, las versiones alteradas de Triada también han encontrado su camino en tabletas Android fuera de marca, cajas de TV y proyectores digitales como parte de un esquema de fraude generalizado llamado Badbox que ha aprovechado los compromisos de la cadena de suministro de hardware y los mercados de terceros para el acceso inicial.
Este comportamiento se observó por primera vez en 2017, cuando el malware evolucionó a una puerta trasera de Android Framework preinstalada, lo que permite a los actores de amenaza controlar los dispositivos de forma remota, inyectar más malware y explotarlos para varias actividades ilícitas.
«Triada infecta las imágenes del sistema de dispositivos a través de un tercero durante el proceso de producción», señaló Google en junio de 2019. «A veces, los OEM quieren incluir características que no sean parte del proyecto de código abierto de Android, como Face Unlock. El OEM podría asociarse con una tercera parte que puede desarrollar la característica deseada y enviar toda la imagen del sistema a ese proveedor para el desarrollo».
El gigante tecnológico, en ese momento, también señaló los dedos a un proveedor que se llamaba Yehuo o Blazefire como la parte probablemente responsable de infectar la imagen del sistema devuelta con Triada.
Las últimas muestras del malware analizado por Kaspersky muestran que están ubicadas en el marco del sistema, lo que permite que se copie a cada proceso en el teléfono inteligente y brinde a los atacantes acceso y control sin restricciones para realizar diversas actividades,
- Robar cuentas de usuario asociadas con mensajeros instantáneos y redes sociales, como Telegram y Tiktok
- Envíe sigilosamente los mensajes de WhatsApp y Telegram a otros contactos en nombre de la víctima y eliminarlos para eliminar trazas
- Actúa como un clipper secuestrando contenido de portapapeles con direcciones de billetera de criptomonedas para reemplazarlas con una billetera bajo su control
- Monitorear la actividad del navegador web y reemplazar los enlaces
- Reemplace los números de teléfono durante las llamadas
- Interceptar mensajes de SMS y suscribir a las víctimas a SMS premium
- Descargar otros programas
- Bloquear conexiones de red para interferir con el funcionamiento normal de los sistemas anti-fraude
Vale la pena señalar que Trianda no es el único malware que se ha precargado en dispositivos Android durante las etapas de fabricación. En mayo de 2018, Avast reveló que varios cientos de modelos Android, incluidos los de Like ZTE y Archos, fueron enviados previamente a la instalación con otro adware llamado Cosiloon.
«El troyano Triada ha sido conocido durante mucho tiempo, y sigue siendo una de las amenazas más complejas y peligrosas para Android», dijo el investigador de Kaspersky, Dmitry Kalinin. «Probablemente, en una de las etapas, la cadena de suministro se ve comprometida, por lo que las tiendas ni siquiera sospechan que están vendiendo teléfonos inteligentes con Triada».
«Al mismo tiempo, los autores de la nueva versión de Triada están monetizando activamente sus esfuerzos. A juzgar por el análisis de las transacciones, pudieron transferir alrededor de $ 270,000 en varias criptomonedas a sus billeteras de cifrado (entre el 13 de junio de 2024 y el 27 de marzo de 2025)».
La aparición de una versión actualizada de Triada sigue el descubrimiento de dos troyanos de banca Android diferentes llamados Crocodilus y Tsarbot, este último de los cuales se dirige a más de 750 aplicaciones bancarias, financieras y de criptomonedas.
Ambas familias de malware se distribuyen a través de aplicaciones de gotero que se hacen pasar por los servicios legítimos de Google. También abusan de los servicios de accesibilidad de Android para controlar de forma remota los dispositivos infectados y realizar ataques superpuestos a credenciales bancarias de sifra y detalles de la tarjeta de crédito.
La divulgación también viene como cualquier otra.
Actualizar
Después de la publicación de la historia, un portavoz de Google le dijo a The Hacker News que los dispositivos Android infectados por Triada no están certificados por la protección de la Play, y que los usuarios están protegidos contra Crocodilus y Tsarbot por Google Play Protect.
«Los dispositivos infectados son dispositivos de proyecto de código abierto de Android, no Android OS o Play Protect Certified Android Devices», dijo el portavoz. «Si un dispositivo no está reproducido, Google no tiene un registro de resultados de pruebas de seguridad y compatibilidad. Los dispositivos Android certificados de Play Protect certificados experimentan pruebas extensas para garantizar la calidad y la seguridad del usuario».
(La historia se actualizó después de la publicación para incluir una respuesta de Google).