在網絡出售冒充知名品牌的智能電話固然可惡,如果更預設內嵌強力的Triada木馬程式,這比買入冒牌電話的傷害更大,用家的Telegram、WhatsApp、社交媒體帳號和加密貨幣結餘,都可能落入犯罪份子手上。
甚麼是Triada?
Triada早在2016年被首次發現,這流動惡意程式會停留在RAM內,並滲透裝置上幾乎所有處理程序,它的出現標誌了對Android的流動威脅進入新時代,在Triada之前,木馬都相對無害,通常是顯示廣告或下載其他木馬程式,新的威脅出現令事情變得不一樣。其後Android開發者修復了上期版本Triada利用的安全漏洞,近代的Android版本甚至禁止持有root特權的用戶編輯系統分區,到2025年3月,研究人員發現改良版的Triada利用這種新限制,攻擊者在智能電話出售前感染韌體,預先安裝在系統分區,惡意程式便能接近無法法移除。
新版本功能
新版本Triada被定為Backdoor.AndroidOS.Triada.z,內嵌在假Android智能電話並透過網絡出售,它可以攻擊任何裝置上運行的應用程式,令它擁有無限能力,可以限制短訊和通話、盜竊加密貨幣、下載和執行其他應用程式,取代瀏覽器中的連結、暗地裡在通訊軟件冒充用戶傳送訊息,以及騎劫社交媒體帳號等。
Triada可以滲透受感染裝置上的所有啟動的應用程式,還包含特別模組針對知名的應用程式,當用戶下載合法應用程式,例如Telegram、TikTok,木馬程式便把自己內嵌在內並開始製造傷害。
Telegram – Triada下載兩個模組去入侵Telegram,第一個每一天進行惡意活動一次,連線C&C伺服器,把受害者電話號碼發送給犯罪者,內含完整身份驗證資料,包括存取token。第二個模組過濾所有訊息,以機器人互動,並刪除新Telegram登入的通知。
Instagram – 每天一次,木馬程式執行惡意作業搜尋正活躍的cookie,並轉發資料給攻擊者,這些檔案能協助犯罪份子完全控制帳號。
瀏覽器 – Triada對Chrome、Opera、Mozilla和其他瀏覽器構成威脅,完整清單請瀏覽Securelist,模組會透過TCP連線到C&C伺服器,並隨機重新引導瀏覽器的合法連結到廣告網站,由於木馬程式從C&C伺服器下載重新引導連結,攻擊者可以隨時引導用戶到釣魚網站。
WhatsApp – 同樣是兩個模組,第一個負責每5分鐘收集和發送活躍token資料給C&C伺服器,令攻擊者能存取受害者帳號,第二個攔截客端功收發訊息功能,令惡意程式能發送和刪除訊息,隱藏行蹤。
Line – Triada的模組收集內部應用程式資料,包括認證的token,並每30秒轉發到C&C伺服器,藉此取得用戶帳號的存取權。
Skype – 即使Skype已經停止運作,Triada仍然有模組對它進行感染,利用不同方法取得認證token然後發送到C&C伺服器。
TikTok – 模組會從內置資料夾收集受害者帳號的cookie檔案,也取得與TikTok API通訊所需的資料。
Facebook – Triada透過兩個模組作惡,一個負責盜竊認證cooke,另一個把受感染裝置的資料傳送至C&C伺服器。
當然也具備了SMS和通話模組,SMS模組讓惡意程式過濾所有接收訊息,並從中取得密碼,回應某些訊(例如訂閱付費服務),接受C&C伺服器指示發送SMS訊息。其次是停用Android內建的SMS木馬防護功能,該功能在發送高階短訊時向用戶提出許可,這些訊息可以用戶確定付費訂閱。通話模組把自己內嵌在電話應用程式,但似乎仍在開發,研究人員發現它部份實現電話號碼詐騙,相信攻擊者很快就會完成。
另一個模組是反向代理(reverse proxy),把受害者的智能電話變成反向代理伺服器,使攻擊者能以受害者的身份存取任意IP地址。
不太意外地,Triada針對加密貨幣持有者,利用木馬程式Clipper監察剪貼板上的加密錢包地址,把它換成攻擊者自己的錢包,加密貨幣盜竊工具也會分析受害者的活動,當嘗試提取加密貨幣時,在所有可能的地方換上欺詐的加密錢包,也會干擾應用程式內的按鈕點擊處理程序,以生成的QR code替換圖像,連結到攻擊者的錢包地址,犯罪份子自2024年6月起成功盜竊26萬4千美元。完整報告請瀏覽Securelist。
惡意程式如何感染智能電話
所有被感染裝置上的韌體名稱,都與官方版本有一個字的差別,例如官方韌體TGPMIXM,被感染裝置上則是TGPMIXN,研究人員在討論版上發現有用戶投訴從網絡商店上購買了冒牌貨。似乎是供應鏈的某一部份被入侵,商店並不知道正出售遭Triada感染的裝置,也難以確定惡意程式放入智能電話的準確時間。
防範Triada
新版Triada被發現預先安裝在冒牌裝置,因此遠離Triada感染的最佳方法就是只從認可零售商購買智能電話,如果懷疑你的電話已被Triada(或其他木馬程式)感染,我們建議:
- 不要使用上述可能被入侵的應用程式或進行金融交易,包括加密貨幣。
- 在智能電話上安裝可靠的防護方案進行檢查
- 如果在裝置上發現Triada,可以自己用官方韌體重刷裝置,又或者聯絡服務中心,假韌體除了預先安裝木馬外,還經常誇大RAM和儲存空間,所以注意你的智能手機規格有否發生「突變」。
- 如不幸被Triada感染,檢查所有可能被入侵的通訊軟件和社交媒體應用程式,終止所有你不知道的連線,如懷疑帳號已被騎劫,立即終止所有裝止的社交媒體連線,並更改密碼。
資料來源:Kaspersky Blog
