Kaspersky ha identificado una nueva versión del troyano Triada, integrada de forma oculta en el firmware de smartphones Android falsificados. Se trata de un malware embebido en el sistema de firmware que permite el robo de criptomonedas, redirección de llamadas y secuestro de cuentas en redes sociales. El virus, presente en más de 2.600 dispositivos, otorga control total a los atacantes sin levantar sospechas. Su presencia apunta a una grave brecha en la cadena de suministro tecnológica.

Kaspersky ha descubierto una nueva y sofisticada variante del troyano Triada preinstalada en smartphones Android falsificados, presuntamente vendidos a través de distribuidores no autorizados. Embebido en el firmware del sistema, el malware opera sin ser detectado y otorga a los atacantes control total sobre los dispositivos infectados. Más de 2.600 usuarios en todo el mundo se han visto afectados. Las cifras más altas de usuarios atacados se han registrado en la Federación Rusa, Brasil, Kazajistán, Alemania e Indonesia.

A diferencia del malware móvil habitual que se entrega mediante aplicaciones maliciosas, esta variante de Triada está integrada en la estructura del sistema, infiltrándose en cada proceso en ejecución. Esto permite una amplia gama de actividades maliciosas, que incluyen:

• Robo de cuentas de mensajería y redes sociales, incluidas Telegram, TikTok, Facebook e Instagram
• Envío y eliminación de mensajes en apps como WhatsApp y Telegram
• Suplantación de direcciones de monederos de criptomonedas
• Redirección de llamadas telefónicas mediante suplantación de ID de llamada
• Monitorización de la actividad del navegador e inyección de enlaces
• Intercepción, envío y eliminación de mensajes SMS
• Activación de cargos por SMS premium
• Descarga y ejecución de cargas maliciosas adicionales
• Bloqueo de conexiones de red para posiblemente eludir sistemas antifraude

“El troyano Triada ha evolucionado hasta convertirse en una de las amenazas más avanzadas del ecosistema Android. Esta nueva versión se infiltra a nivel de firmware, antes incluso de que el dispositivo llegue al usuario, lo que apunta a un compromiso en la cadena de suministro. Según el análisis de fuentes abiertas, los atacantes ya han canalizado al menos 270.000 dólares (250.000€ aproximadamente) en criptomonedas robadas a sus monederos, aunque el total real podría ser mayor debido al uso de monedas no rastreables como Mone”, afirmó Dmitry Kalinin, analista de malware en Kaspersky Threat Research.

Las soluciones de Kaspersky detectan esta variante como Backdoor.AndroidOS.Triada.z.

Descubierto por primera vez en 2016, Triada ha evolucionado constantemente, aprovechando privilegios a nivel del sistema para ejecutar fraudes, secuestrar autenticaciones por SMS y evadir la detección. Esta última campaña representa una escalada preocupante, ya que los atacantes podrían estar explotando fallos en la cadena de suministro para desplegar malware a nivel de firmware en dispositivos falsificados.