Encontrado el troyano Triada en varios modelos de móviles chinos

No es nada nuevo el hecho de que a veces podamos recibir desde china un móvil -muy barato, eso sí, pero con algún regalo inesperado. Ya detallamos hace algún tiempo como esto había ocurrido con hasta 26 marcas de móviles chinos que contenían malware ya desde su cadena de montaje o distribución.

Malware en móviles chinos

Ahora somos conscientes, gracias a la firma de antivirus rusa Tencent, de que el troyano Triada estaría presente en varios modelos de móviles low cost con sistema operativo Android, entre los que se encuentran teléfonos de firmas con cierta popularidad en Europa: Leagoo M5 Plus, Leagoo M8 y otros menos conocidos como Nomu S10 y Nomu S20.

Malware en móviles chinos, ¿cómo es posible?

Sabemos los modelos y marcas, pero no estamos seguros de cómo y dónde se ha producido la contaminación con malware, ¿en qué parte de la cadena de suministro o de producción ha ocurrido? A continuación un fragmento del análisis de Dr. Web:

Analíticas de virus de Dr Web han detectado un programa malicioso embebido en el firmware de varios móviles con Android. El troyano se conoce como Android.Triada.231 y está insertado en una de la librerías del sistema. Penetra en todos los procesos de cada aplicación en ejecución y puede descargar e instalar módulos adicionales de forma silenciosa.

El troyano Triada se ha encontrado dentro del proceso de sistema Android conocido como Zygote, componente usado para lanzar programas. Al infectarlo, todas las aplicaciones en curso son contaminadas con el troyano, que obtiene sus mismos privilegios.

 

Este troyano fue descubierto por primera vez en Marzo de 2016 por expertos de Kaspersky Lab y en su momento se consideró el malware para Android más sofisticado jamás visto. 

El objetivo principal de Triada es el de llevar a cabo fraudes financieros, como secuestrar las transacciones bancarias que se completan mediante SMS o mensajes de texto. Su característica más notable es que es totalmente modular, lo que le otorga diferentes capacidades de actuación según el momento.

Troyano Triada

Detalles de funcionamiento

Una vez el malware es iniciado establece unos parámetros, crea un directorio de archivos y comprueba su propio entorno de ejecución. Si se ejecuta sobre entornos Dalvik, se adhiere a uno de los métodos de sistema para rastrear el inicio de las apps y llevar a cabo sus actividades inmediatamente tras su arranque.

La función principal de Android.Triada.231 es la de ejecutar módulos maliciosos de forma secreta y que estos a su vez puedan descargar otros componentes. Para ejecutar otros módulos, comprueba si existe un sub-directorio especial en el directorio principal previamente creado por el troyano.

El sub-directorio deberá incluir en su nombre el valor MD5 del paquete específico de la app, dentro de cuyo proceso se ha infiltrado el troyano.

¿Se puede desinfectar?

Desde Dr. Web confirman que el troyano Triada no puede eliminarse mediante métodos estandar, ya que está escondido en una de las librerías del sistema Android local, ubicado en la sección de archivos de sistema. Para poder eliminarlo, es necesario instalar un firmware Android limpio.

Dr Web ya ha notificado a los fabricantes acerca de los teléfonos comprometidos.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.