Le logiciel malveillant directement intégré au firmware du système des téléphones mobiles contrefaits permet de détourner des cryptomonnaies, de rediriger des appels et de pirater certains comptes de réseaux sociaux.
Kaspersky a découvert une nouvelle version sophistiquée du cheval de Troie Triada préinstallé sur des smartphones Android contrefaits qui auraient été vendus par des distributeurs non agréés. Directement intégré dans le micrologiciel du système, ce logiciel malveillant passe inaperçu et confère aux attaquants un contrôle total sur les appareils infectés.
Dans le monde, ce sont plus de 2 600 utilisateurs dans le monde qui ont été affectés, avec des victimes recensées à plus forte raison en Russie, au Brésil, au Kazakhstan, en Allemagne et en Indonésie.
Contrairement aux logiciels malveillants mobiles habituels, diffusés par le biais d'applications malveillantes, cette variante de Triada est pré-intégrée dans le système du téléphone et s'infiltre dans tous les processus en cours d'exécution. Elle permet un large panel d'activités malveillantes, notamment :
● Le piratage des comptes de messagerie et de réseaux sociaux, y compris Telegram, TikTok, Facebook et Instagram,
● L'envoi et la suppression de messages dans des applications telles que WhatsApp et Telegram,
● La substitution d'adresses de portefeuilles de cryptomonnaies,
● La redirection d'appels téléphoniques, en usurpant l'identité du propriétaire de l’appareil,
● Le suivi de l'activité sur les navigateurs et l'injection d’URL,
● L’interception, l’envoi et la suppression de SMS,
● L'activation des frais de SMS surtaxés,
● Le téléchargement et l'exécution de charges utiles supplémentaires,
● Le blocage de certaines connexions réseau afin de contourner les systèmes anti-fraude.
« Le cheval de Troie Triada est devenu l'une des menaces parmi les plus avancées de l'écosystème Android », a déclaré Dmitry Kalinin, analyste des logiciels malveillants chez Kaspersky Threat Research. « Cette nouvelle variante s'introduit dans l'appareil au niveau du micrologiciel avant même d'atteindre l'utilisateur, ce qui laisse présager une compromission de la chaîne d'approvisionnement. Selon l'analyse des données disponibles en open source, les attaquants ont déjà fait transiter au moins 270 000 dollars de cryptomonnaie volés vers leurs portefeuilles, bien que le montant réel puisse être plus élevé en raison de l'utilisation de monnaies intraçables comme Monero. »
Les solutions Kaspersky détectent cette variante sous le nom de Backdoor.AndroidOS.Triada.z.
Triada a été découvert une première fois en 2016 et n'a cessé d'évoluer depuis. Ce logiciel tire parti de son intégration dans le système du téléphone pour perpétrer des fraudes, détourner les authentifications par SMS et échapper à la détection. Cette dernière campagne témoigne d'une progression inquiétante de ces chevaux de Troie, dans la mesure où les attaquants sont en mesure d’exploiter les failles de la chaîne d'approvisionnement pour installer des malwares au niveau du micrologiciel sur des appareils contrefaits.
