A cena familiar no caixa do supermercado: depois de passar todas as compras, vem a oferta, com um sorriso: \u201cQue tal uma barra de chocolate para a viagem? \u00c9 uma \u00f3tima escolha, e o desconto \u00e9 quase um presente.\u201d Se tiver sorte, voc\u00ea ganha um b\u00f4nus delicioso por um \u00f3timo pre\u00e7o. Mas, na maioria das vezes, eles est\u00e3o tentando empurrar algo que n\u00e3o est\u00e1 vendendo bem, est\u00e1 prestes a vencer ou tem algum outro defeito escondido.<\/p>\n
Agora, imagine que voc\u00ea recusou a barra de chocolate, mas mesmo assim ela foi secretamente colocada em sua sacola, ou pior, no seu bolso, onde derreteu e sujou sua roupa, estragando o seu dia. Bem, algo semelhante aconteceu com pessoas que compraram imita\u00e7\u00f5es de marcas populares de smartphones na Internet. N\u00e3o, ningu\u00e9m ganhou uma barra de chocolate. Essas pessoas sa\u00edram com um smartphone novinho em folha que tinha o cavalo de Troia Triada incorporado ao firmware. Isso \u00e9 muito pior do que chocolate derretido. Os saldos de criptomoedas, al\u00e9m de contas de Telegram, WhatsApp e redes sociais, poderiam desaparecer antes que essas pessoas pudessem perceber qu\u00e3o ruim foi o neg\u00f3cio que fizeram. Algu\u00e9m poderia roubar mensagens de texto e muito mais.<\/p>\n
\u00c9 o nome que n\u00f3s da Kaspersky demos ao cavalo de Troia que descobrimos e descrevemos em detalhes<\/a> pela primeira vez em 2016. Esse malware m\u00f3vel se infiltrava em praticamente todos os processos em execu\u00e7\u00e3o em um dispositivo, residindo apenas na RAM.<\/p>\n O surgimento do Triada marcou uma nova era na evolu\u00e7\u00e3o das amea\u00e7as m\u00f3veis direcionadas ao Android. Antes do Triada, os cavalos de Troia eram relativamente inofensivos, pois basicamente exibiam an\u00fancios e baixavam outros cavalos de Troia. Essa nova amea\u00e7a mostrou que as coisas nunca mais seriam as mesmas.<\/p>\n Com o tempo, os desenvolvedores do Android corrigiram as vulnerabilidades que as primeiras vers\u00f5es do Triada exploravam. Vers\u00f5es recentes do Android restringiram at\u00e9 mesmo usu\u00e1rios com privil\u00e9gios de root de editar parti\u00e7\u00f5es do sistema. Essas a\u00e7\u00f5es bastaram para conter os criminosos cibern\u00e9ticos? O que voc\u00ea acha?<\/p>\n Avan\u00e7ando para mar\u00e7o de 2025, descobrimos uma vers\u00e3o adaptada do Triada que se aproveita das novas restri\u00e7\u00f5es. O invasor infecta o firmware antes mesmo de os smartphones serem vendidos. Pr\u00e9-instalado em parti\u00e7\u00f5es do sistema, o malware \u00e9 quase imposs\u00edvel de remover.<\/p>\n Nossa solu\u00e7\u00e3o de seguran\u00e7a para Android<\/a>\u00a0detecta a nova vers\u00e3o do Triada como Backdoor.AndroidOS.Triada.z<\/strong>. \u00c9 essa nova vers\u00e3o que est\u00e1 incorporada no firmware de smartphones Android falsificados dispon\u00edveis em lojas on-line. Ela \u00e9 capaz de atacar qualquer<\/em> aplicativo em execu\u00e7\u00e3o no dispositivo. Isso d\u00e1 ao cavalo de Troia capacidades praticamente ilimitadas. Ele pode controlar mensagens de texto e chamadas, roubar criptomoedas, baixar e executar outros aplicativos, substituir links em navegadores, enviar mensagens secretamente em aplicativos de bate-papo em seu nome e sequestrar contas de m\u00eddia social.<\/p>\n Uma c\u00f3pia do Triada se infiltra em todos os aplicativos iniciados no dispositivo infectado. Al\u00e9m disso, o cavalo de Troia inclui m\u00f3dulos especializados que t\u00eam como alvo aplicativos populares. Assim que o usu\u00e1rio baixa um aplicativo leg\u00edtimo, como Telegram ou TikTok, o cavalo de Troia se instala nele e come\u00e7a a causar preju\u00edzos.<\/p>\n Telegram. <\/strong>O Triada baixa dois m\u00f3dulos para comprometer o Telegram. O primeiro inicia atividades maliciosas uma vez por dia, conectando-se a um servidor de comando e controle (C2). Ele envia o n\u00famero de telefone da v\u00edtima aos criminosos, al\u00e9m de dados completos de autentica\u00e7\u00e3o, incluindo o token de acesso. O segundo m\u00f3dulo filtra todas as mensagens, interagindo com um bot (que n\u00e3o existia na \u00e9poca da nossa pesquisa) e excluindo notifica\u00e7\u00f5es de novos logins no Telegram.<\/p>\n Instagram.<\/strong> Uma vez por dia, o cavalo de Troia executa uma tarefa maliciosa para procurar cookies de sess\u00e3o ativos e encaminhar os dados aos invasores. Esses arquivos ajudam os criminosos a assumir o controle total da conta.<\/p>\n Navegadores. <\/strong>O Triada amea\u00e7a v\u00e1rios navegadores: Chrome, Opera, Mozilla e alguns outros. A lista completa est\u00e1 dispon\u00edvel no artigo da Securelist<\/a>. O m\u00f3dulo se conecta ao servidor C2 via TCP e redireciona aleatoriamente links leg\u00edtimos nos navegadores para sites de publicidade em um primeiro momento. No entanto, como o cavalo de Troia baixa links de redirecionamento de seu servidor C2, os invasores podem direcionar os usu\u00e1rios para sites de phishing a qualquer momento.<\/p>\n WhatsApp.<\/strong> Novamente, h\u00e1 dois m\u00f3dulos. O primeiro coleta e envia dados sobre a sess\u00e3o ativa para o servidor C2 a cada cinco minutos, dando aos invasores acesso total \u00e0 conta da v\u00edtima. O segundo intercepta as fun\u00e7\u00f5es do cliente para enviar e receber mensagens, o que permite que o malware envie e exclua mensagens instant\u00e2neas arbitr\u00e1rias para cobrir seus rastros.<\/p>\n LINE.<\/strong> O m\u00f3dulo Triada dedicado coleta dados internos do aplicativo, incluindo dados de autentica\u00e7\u00e3o (token de acesso), a cada 30 segundos e os encaminha para o servidor C2. Neste caso, tamb\u00e9m, outra pessoa assume o controle total da conta do usu\u00e1rio.<\/p>\n Skype.<\/strong> Embora o Skype esteja prestes a ser aposentado<\/a>, o Triada ainda tem um m\u00f3dulo para infect\u00e1-lo. O Triada usa v\u00e1rios m\u00e9todos para obter o token de autentica\u00e7\u00e3o e depois o envia ao servidor C2.<\/p>\n TikTok. <\/strong>Este m\u00f3dulo pode coletar muitos dados sobre a conta da v\u00edtima por meio de arquivos de cookie no diret\u00f3rio interno e tamb\u00e9m extrair dados necess\u00e1rios para comunica\u00e7\u00e3o com a API do TikTok.<\/p>\n Facebook. <\/strong>O Triada est\u00e1 equipado com dois m\u00f3dulos para esse aplicativo. Um deles rouba cookies de autentica\u00e7\u00e3o e o outro envia informa\u00e7\u00f5es sobre o dispositivo infectado para o servidor C2.<\/p>\n Claro, tamb\u00e9m h\u00e1 m\u00f3dulos para SMS e chamadas<\/strong>. O primeiro m\u00f3dulo SMS<\/strong> permite que o malware filtre todas as mensagens recebidas e extraia c\u00f3digos delas, responda a algumas mensagens (provavelmente para inscrever as v\u00edtimas em servi\u00e7os pagos) e envie mensagens SMS arbitr\u00e1rias quando instru\u00eddo pelo servidor C2. O segundo m\u00f3dulo auxiliar desabilita a prote\u00e7\u00e3o integrada do Android contra cavalos de Troia SMS que solicitam permiss\u00e3o do usu\u00e1rio antes de enviar mensagens para c\u00f3digos curtos (SMS Premium), os quais podem ser usados para confirmar assinaturas pagas.<\/p>\n O m\u00f3dulo de chamada<\/strong> \u00e9 incorporado ao aplicativo do telefone, mas provavelmente ainda est\u00e1 em desenvolvimento. Descobrimos que ele implementa parcialmente a falsifica\u00e7\u00e3o de n\u00fameros de telefone, algo que esperamos que seja conclu\u00eddo em breve.<\/p>\n Outro m\u00f3dulo, um proxy reverso<\/strong>, transforma o smartphone da v\u00edtima em um servidor proxy reverso, dando aos invasores acesso a endere\u00e7os IP arbitr\u00e1rios em nome da v\u00edtima.<\/p>\n N\u00e3o \u00e9 de se surpreender que a Triada tamb\u00e9m tenha como alvo propriet\u00e1rios de criptomoedas, com uma surpresa especial os aguardando: um clipper<\/strong>. O cavalo de Troia monitora a \u00e1rea de transfer\u00eancia em busca de endere\u00e7os de carteiras de criptomoedas, substituindo-os por outros de propriedade dos invasores. Um malware de roubo de criptomoedas<\/strong> analisa a atividade da v\u00edtima, substituindo os endere\u00e7os de carteiras de criptomoedas por endere\u00e7os fraudulentos sempre que uma tentativa de saque \u00e9 feita. Ele at\u00e9 mesmo interfere nos manipuladores de toques de bot\u00f5es nos aplicativos e substitui imagens por c\u00f3digos QR gerados que direcionam para os endere\u00e7os de carteira dos invasores. Com a ajuda dessas ferramentas, os criminosos conseguiram roubar mais de USD\u00a0264 mil em diversas criptomoedas desde 13 de junho de 2024.<\/p>\n Confira nosso relat\u00f3rio Securelist<\/a> para obter uma lista completa dos recursos do Triada e uma an\u00e1lise t\u00e9cnica detalhada.<\/p>\n Em todos os casos de infec\u00e7\u00e3o que estamos cientes, o nome do firmware no dispositivo diferia do oficial por uma \u00fanica letra. Por exemplo, o firmware oficial era TGPMIXM<\/strong>, enquanto os telefones infectados tinham TGPMIXN<\/strong>. Encontramos postagens em f\u00f3runs relevantes em que usu\u00e1rios reclamaram sobre dispositivos falsificados comprados na Internet.<\/p>\n \u00c9 prov\u00e1vel que alguma etapa da cadeia de suprimentos tenha sido comprometida, j\u00e1 que as lojas n\u00e3o tinham ideia de que estavam distribuindo dispositivos infectados com o Triada. Entretanto, \u00e9 praticamente imposs\u00edvel determinar exatamente quando o malware foi colocado nos smartphones.<\/p>\n A nova vers\u00e3o do cavalo de Troia foi encontrada pr\u00e9-instalada em dispositivos falsificados. Portanto, a melhor maneira de evitar a infec\u00e7\u00e3o pelo Triada \u00e9 comprar smartphones somente de revendedores autorizados. Caso suspeite que seu telefone possa ter sido infectado pelo Triada (ou outro cavalo de Troia), aqui est\u00e3o nossas recomenda\u00e7\u00f5es.<\/p>\n O Triada est\u00e1 longe de ser o \u00fanico cavalo de Troia m\u00f3vel. Siga estes links para ler mat\u00e9rias sobre outros malwares para Android:<\/p><\/blockquote>\n Como o Necro Trojan atacou 11 milh\u00f5es de usu\u00e1rios do Android<\/a><\/p><\/blockquote>\n<\/li>\n O cavalo de troia para roubo de dados SparkCat penetra na App Store e no Google Play para roubar dados de fotos<\/a><\/p><\/blockquote>\n<\/li>\nDo que essa nova vers\u00e3o \u00e9 capaz?<\/h2>\n
Como o malware se infiltra em smartphones<\/h2>\n
Como se proteger do Triada<\/h2>\n
\n
\n