Une nouvelle version du cheval de Troie Triada a été découverte préinstallée sur des milliers de nouveaux appareils Android, permettant aux auteurs de menaces de voler des données dès leur configuration.
Les chercheurs de Kaspersky signalent que cette campagne affecte principalement les utilisateurs russes, avec au moins 2 600 infections confirmées du 13 au 27 mars 2025, sur la base de la visibilité de ses outils de protection mobile.
Les chercheurs en sécurité ont noté que Triada avait été trouvé sur des versions contrefaites de modèles de smartphones populaires vendus dans des magasins en ligne à des prix réduits pour attirer l’intérêt d’acheteurs sans méfiance.
Triada est un malware Android modulaire découvert pour la première fois en 2016, considéré comme un pionnier à l’époque pour fonctionner presque entièrement dans la RAM de l’appareil pour échapper à la détection.
Depuis lors, il y a eu de multiples rapports selon lesquels Triada se cachait dans le micrologiciel de téléphones Android à bas prix vendus via des canaux de vente au détail non officiels douteux, ce qui en fait une menace furtive et persistante qui ne peut pas être supprimée sans reflasher la ROM.
Le dernier rapport de Kaspersky indique que la dernière version de Triada reste très évasive, se cachant dans le framework système d’Android et se copiant à chaque processus sur le smartphone.
La dernière variante de malware Triada effectue les actions suivantes sur les appareils infectés:
- Vole des comptes de messagers et de médias sociaux
- Envoie et supprime des messages via WhatsApp et Telegram pour usurper l’identité des utilisateurs
- Détourne la crypto-monnaie en remplaçant les adresses de portefeuille dans les applications
- Suit l’activité de navigation et échange des liens
- Usurpe les numéros de téléphone pendant les appels pour rediriger les conversations
- Intercepte, envoie et supprime des messages SMS
- Permet aux SMS premium de facturer des services payants
- Télécharge et exécute des applications supplémentaires à distance
- Bloque les connexions réseau pour échapper à la détection ou perturber les défenses
L’analyse des transactions montre que le nouveau cheval de Troie Triada a volé au moins 270 000 dollars de crypto-monnaie. Cependant, le montant total volé par l’opération est inconnu car il implique également la crypto-monnaie Monero difficile à retracer.
Kaspersky ne sait pas comment les appareils sont infectés par Triada, mais émet l’hypothèse que c’est le résultat d’une attaque de la chaîne d’approvisionnement.
« Sa nouvelle version [de Triada] est intégrée au micrologiciel du smartphone avant même que les appareils n’atteignent les utilisateurs », a commenté Dmitry Kalinin de Kaspersky.
« Il est probable que la chaîne d’approvisionnement soit compromise à un moment donné, de sorte que même les magasins peuvent ne pas se rendre compte qu’ils vendent des téléphones avec Triada. »
Pour atténuer ce risque, n’achetez que des smartphones auprès de distributeurs agréés.
En cas de doute, reflashez votre appareil à l’aide d’une image système propre de Google ou d’une ROM tierce de confiance comme Lineage OS ou GrapheneOS.