Une nouvelle version du malware Triada a été découverte par les chercheurs de Kaspersky sur des smartphones Android. L'infection n'a pas pour origine le téléchargement d'une application piégée par l'utilisateur, mais une pré-installation.
La piste privilégiée est celle de la compromission de la chaîne d'approvisionnement. Elle implique une intervention d'acteurs malintentionnés pendant la fabrication ou la distribution des appareils. Le code de Triada est directement injecté dans le firmware.
Kaspersky souligne en particulier des smartphones Android contrefaits qui auraient été vendus par des distributeurs non agréés.
Une menace Triada modulaire
Entre le 13 mars et le 27 mars, la campagne malveillante a touché plus de 2 600 utilisateurs dans le monde. Des victimes ont toutefois été principalement recensées en Russie, au Brésil, au Kazakhstan, en Allemagne et en Indonésie.
Découvert pour la première fois en 2016, Triada est un cheval de Troie modulaire qui peut télécharger et exécuter différentes charges utiles malveillantes en fonction des objectifs des attaquants. Kaspersky écrit que la nouvelle version sophistiquée et pré-installée de Triada s'infiltre dans tous les processus en cours d'exécution.
Le panel des activités malveillantes sur les appareils infectés recouvre le piratage de comptes de messagerie et de réseaux sociaux, l'envoi de messages dans des applications comme WhatsApp et Telegram pour usurper l'identité de la victime, l'interception de SMS, le suivi de l'activité de navigation et l'injection d'URL.
Étant donné que Triada peut rapatrier des charges utiles supplémentaires, les possibilités pour les attaquants sont nombreuses. Kaspersky note l'activation de frais de SMS surtaxés et la substitution d'adresses de portefeuilles de cryptomonnaies.
Prudence lors de l'achat d'un smartphone
Une analyse des transactions montre que le nouveau cheval de Troie Triada a permis de dérober au moins 270 000 dollars en cryptomonnaies. Le montant total est inconnu en raison du recours à la cryptomonnaie Monero difficile à tracer.
« Triada est devenu l'une des menaces parmi les plus avancées de l'écosystème Android », déclare un chercheur de Kaspersky Threat Research. Avec une injection dans le firmware, la désinfection est hautement problématique pour le commun des utilisateurs.
