Android
A cena familiar no caixa do supermercado: depois de passar todas as compras, vem a oferta, com um sorriso: “Que tal uma barra de chocolate para a viagem? É uma ótima escolha, e o desconto é quase um presente.” Se tiver sorte, você ganha um bônus delicioso por um ótimo preço. Mas, na maioria das vezes, eles estão tentando empurrar algo que não está vendendo bem, está prestes a vencer ou tem algum outro defeito escondido.
Agora, imagine que você recusou a barra de chocolate, mas mesmo assim ela foi secretamente colocada em sua sacola, ou pior, no seu bolso, onde derreteu e sujou sua roupa, estragando o seu dia. Bem, algo semelhante aconteceu com pessoas que compraram imitações de marcas populares de smartphones na Internet. Não, ninguém ganhou uma barra de chocolate. Essas pessoas saíram com um smartphone novinho em folha que tinha o cavalo de Troia Triada incorporado ao firmware. Isso é muito pior do que chocolate derretido. Os saldos de criptomoedas, além de contas de Telegram, WhatsApp e redes sociais, poderiam desaparecer antes que essas pessoas pudessem perceber quão ruim foi o negócio que fizeram. Alguém poderia roubar mensagens de texto e muito mais.
Triada? Mas o que é Triada?
É o nome que nós da Kaspersky demos ao cavalo de Troia que descobrimos e descrevemos em detalhes pela primeira vez em 2016. Esse malware móvel se infiltrava em praticamente todos os processos em execução em um dispositivo, residindo apenas na RAM.
O surgimento do Triada marcou uma nova era na evolução das ameaças móveis direcionadas ao Android. Antes do Triada, os cavalos de Troia eram relativamente inofensivos, pois basicamente exibiam anúncios e baixavam outros cavalos de Troia. Essa nova ameaça mostrou que as coisas nunca mais seriam as mesmas.
Com o tempo, os desenvolvedores do Android corrigiram as vulnerabilidades que as primeiras versões do Triada exploravam. Versões recentes do Android restringiram até mesmo usuários com privilégios de root de editar partições do sistema. Essas ações bastaram para conter os criminosos cibernéticos? O que você acha?
Avançando para março de 2025, descobrimos uma versão adaptada do Triada que se aproveita das novas restrições. O invasor infecta o firmware antes mesmo de os smartphones serem vendidos. Pré-instalado em partições do sistema, o malware é quase impossível de remover.
Do que essa nova versão é capaz?
Nossa solução de segurança para Android detecta a nova versão do Triada como Backdoor.AndroidOS.Triada.z. É essa nova versão que está incorporada no firmware de smartphones Android falsificados disponíveis em lojas on-line. Ela é capaz de atacar qualquer aplicativo em execução no dispositivo. Isso dá ao cavalo de Troia capacidades praticamente ilimitadas. Ele pode controlar mensagens de texto e chamadas, roubar criptomoedas, baixar e executar outros aplicativos, substituir links em navegadores, enviar mensagens secretamente em aplicativos de bate-papo em seu nome e sequestrar contas de mídia social.
Uma cópia do Triada se infiltra em todos os aplicativos iniciados no dispositivo infectado. Além disso, o cavalo de Troia inclui módulos especializados que têm como alvo aplicativos populares. Assim que o usuário baixa um aplicativo legítimo, como Telegram ou TikTok, o cavalo de Troia se instala nele e começa a causar prejuízos.
Telegram. O Triada baixa dois módulos para comprometer o Telegram. O primeiro inicia atividades maliciosas uma vez por dia, conectando-se a um servidor de comando e controle (C2). Ele envia o número de telefone da vítima aos criminosos, além de dados completos de autenticação, incluindo o token de acesso. O segundo módulo filtra todas as mensagens, interagindo com um bot (que não existia na época da nossa pesquisa) e excluindo notificações de novos logins no Telegram.
Instagram. Uma vez por dia, o cavalo de Troia executa uma tarefa maliciosa para procurar cookies de sessão ativos e encaminhar os dados aos invasores. Esses arquivos ajudam os criminosos a assumir o controle total da conta.
Navegadores. O Triada ameaça vários navegadores: Chrome, Opera, Mozilla e alguns outros. A lista completa está disponível no artigo da Securelist. O módulo se conecta ao servidor C2 via TCP e redireciona aleatoriamente links legítimos nos navegadores para sites de publicidade em um primeiro momento. No entanto, como o cavalo de Troia baixa links de redirecionamento de seu servidor C2, os invasores podem direcionar os usuários para sites de phishing a qualquer momento.
WhatsApp. Novamente, há dois módulos. O primeiro coleta e envia dados sobre a sessão ativa para o servidor C2 a cada cinco minutos, dando aos invasores acesso total à conta da vítima. O segundo intercepta as funções do cliente para enviar e receber mensagens, o que permite que o malware envie e exclua mensagens instantâneas arbitrárias para cobrir seus rastros.
LINE. O módulo Triada dedicado coleta dados internos do aplicativo, incluindo dados de autenticação (token de acesso), a cada 30 segundos e os encaminha para o servidor C2. Neste caso, também, outra pessoa assume o controle total da conta do usuário.
Skype. Embora o Skype esteja prestes a ser aposentado, o Triada ainda tem um módulo para infectá-lo. O Triada usa vários métodos para obter o token de autenticação e depois o envia ao servidor C2.
TikTok. Este módulo pode coletar muitos dados sobre a conta da vítima por meio de arquivos de cookie no diretório interno e também extrair dados necessários para comunicação com a API do TikTok.
Facebook. O Triada está equipado com dois módulos para esse aplicativo. Um deles rouba cookies de autenticação e o outro envia informações sobre o dispositivo infectado para o servidor C2.
Claro, também há módulos para SMS e chamadas. O primeiro módulo SMS permite que o malware filtre todas as mensagens recebidas e extraia códigos delas, responda a algumas mensagens (provavelmente para inscrever as vítimas em serviços pagos) e envie mensagens SMS arbitrárias quando instruído pelo servidor C2. O segundo módulo auxiliar desabilita a proteção integrada do Android contra cavalos de Troia SMS que solicitam permissão do usuário antes de enviar mensagens para códigos curtos (SMS Premium), os quais podem ser usados para confirmar assinaturas pagas.
O módulo de chamada é incorporado ao aplicativo do telefone, mas provavelmente ainda está em desenvolvimento. Descobrimos que ele implementa parcialmente a falsificação de números de telefone, algo que esperamos que seja concluído em breve.
Outro módulo, um proxy reverso, transforma o smartphone da vítima em um servidor proxy reverso, dando aos invasores acesso a endereços IP arbitrários em nome da vítima.
Não é de se surpreender que a Triada também tenha como alvo proprietários de criptomoedas, com uma surpresa especial os aguardando: um clipper. O cavalo de Troia monitora a área de transferência em busca de endereços de carteiras de criptomoedas, substituindo-os por outros de propriedade dos invasores. Um malware de roubo de criptomoedas analisa a atividade da vítima, substituindo os endereços de carteiras de criptomoedas por endereços fraudulentos sempre que uma tentativa de saque é feita. Ele até mesmo interfere nos manipuladores de toques de botões nos aplicativos e substitui imagens por códigos QR gerados que direcionam para os endereços de carteira dos invasores. Com a ajuda dessas ferramentas, os criminosos conseguiram roubar mais de USD 264 mil em diversas criptomoedas desde 13 de junho de 2024.
Confira nosso relatório Securelist para obter uma lista completa dos recursos do Triada e uma análise técnica detalhada.
Como o malware se infiltra em smartphones
Em todos os casos de infecção que estamos cientes, o nome do firmware no dispositivo diferia do oficial por uma única letra. Por exemplo, o firmware oficial era TGPMIXM, enquanto os telefones infectados tinham TGPMIXN. Encontramos postagens em fóruns relevantes em que usuários reclamaram sobre dispositivos falsificados comprados na Internet.
É provável que alguma etapa da cadeia de suprimentos tenha sido comprometida, já que as lojas não tinham ideia de que estavam distribuindo dispositivos infectados com o Triada. Entretanto, é praticamente impossível determinar exatamente quando o malware foi colocado nos smartphones.
Como se proteger do Triada
A nova versão do cavalo de Troia foi encontrada pré-instalada em dispositivos falsificados. Portanto, a melhor maneira de evitar a infecção pelo Triada é comprar smartphones somente de revendedores autorizados. Caso suspeite que seu telefone possa ter sido infectado pelo Triada (ou outro cavalo de Troia), aqui estão nossas recomendações.
- Evite usar qualquer um dos aplicativos potencialmente comprometidos listados acima ou fazer qualquer transação financeira, incluindo criptomoedas.
- Instale o Kaspersky para Android no seu smartphone para verificar se ele está realmente infectado.
- Se o Triada for encontrado no dispositivo, atualize o smartphone com o firmware oficial ou entre em contato com a central de atendimento local. Espere mudanças repentinas nas especificações do seu smartphone: além do cavalo de Troia pré-instalado, o firmware falsificado frequentemente exagerava a quantidade de RAM e armazenamento.
- Se seu smartphone for infectado pelo Triada, verifique todos os aplicativos de mensagens e mídias sociais que podem ter sido comprometidos. Para aplicativos de bate-papo, certifique-se de encerrar todas as sessões que ainda estejam em execução em dispositivos que não reconhece e verifique as configurações de privacidade de acordo com o guia Sequestro de conta de WhatsApp e Telegram: como se proteger contra golpes. Se suspeita que suas contas de mensagens instantâneas foram hackeadas, leia O que fazer se sua conta do WhatsApp for hackeada ou O que fazer se sua conta do Telegram for hackeada. Encerre todas as sessões de mídia social em todos os dispositivos e altere as senhas. Kaspersky Password Manager pode ajudar nessa tarefa.
- Nosso portal Privacy Checker oferece um guia passo a passo sobre como configurar a privacidade em vários aplicativos e sistemas operacionais em geral.
O Triada está longe de ser o único cavalo de Troia móvel. Siga estes links para ler matérias sobre outros malwares para Android:
Dicas