روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  مراسم آشنای خرید از سوپرمارکت: پس از اسکن همه کالاها، فروشنده با لبخندی امیدوارانه می‌پرسد: «یک شکلات برای راه نمی‌خواهید؟ کیفیت خوبی دارد و تخفیفش تقریباً غیرقابل باور است!» اگر خوش‌شانس باشید، یک شکلات خوشمزه با قیمتی عالی نصیبتان می‌شود. اما اغلب اوقات، فروشگاه در تلاش است محصولی را به فروش برساند که یا تاریخ مصرفش نزدیک است یا عیب دیگری دارد.

حالا تصور کنید آن شکلات را نپذیرفته‌اید، اما مخفیانه در کیفتان گذاشته شده باشد — یا بدتر از آن، در جیبتان که بعداً آب شده و لباستان را خراب کند. اتفاقی مشابه برای کسانی افتاده که گوشی‌های تقلبی برندهای مشهور را از فروشگاه‌های آنلاین خریده‌اند. البته این بار خبری از شکلات نبود؛ آنها گوشی جدیدی دریافت کردند که از قبل به تروجان Triada آلوده شده بود. و این، بسیار بدتر از شکلات آب‌شده است. ممکن است موجودی رمزارزهایشان، حساب‌های تلگرام، واتساپ و شبکه‌های اجتماعی‌شان، پیش از آنکه حتی کلمه «تخفیف» را بر زبان بیاورند، به سرقت برود. پیامک‌هایشان و اطلاعات بسیار بیشتری می‌تواند به دست مجرمان بیفتد.

Triada چیست؟

Triada  نام تروجانی است که ما در کسپرسکی برای نخستین بار در سال ۲۰۱۶ کشف و به‌طور مفصل شرح دادیم. این بدافزار موبایلی به نحوی طراحی شده بود که تقریباً به همه پردازش‌های فعال دستگاه نفوذ کند، در حالی که فقط در حافظه RAM حضور داشت.

ظهور Triada، نشانه ورود به عصر جدید تهدیدات موبایلی علیه سیستم‌عامل اندروید بود. پیش از آن، تروجان‌های موبایلی نسبتاً بی‌ضرر بودند و عمدتاً فقط تبلیغات نشان داده یا بدافزارهای دیگر را دانلود می‌کردند. اما Triada نشان داد که شرایط به طور اساسی تغییر کرده است.

با گذشت زمان، توسعه‌دهندگان اندروید آسیب‌پذیری‌هایی را که نسخه‌های اولیه Triada از آنها سوءاستفاده می‌کردند، برطرف کردند. نسخه‌های جدید اندروید حتی دسترسی کاربرانی با مجوز روت را برای تغییر در پارتیشن‌های سیستمی محدود کردند. آیا این اقدامات جلوی مجرمان سایبری را گرفت؟ قطعاً نه!

نسخه جدید Triada؛ تهدیدی پنهان

مارس ۲۰۲۵، نسخه‌ای جدید و بهینه‌شده از Triada کشف شد که با سوءاستفاده از محدودیت‌های جدید اندروید، گوشی‌ها را آلوده می‌کند. مهاجمان، بدافزار را پیش از فروش در فریمور دستگاه قرار داده‌اند؛ یعنی Triada به‌طور پیش‌فرض در پارتیشن‌های سیستمی نصب شده و تقریباً حذف آن غیرممکن است.

نسخه جدید Triada از پس چه کارهایی برمی‌آید؟

راهکار امنیتی اندروید کسپرسکی این نسخه جدید را با نام Backdoor.AndroidOS.Triada.z شناسایی می‌کند. این نسخه که در گوشی‌های تقلبی اندرویدی موجود در فروشگاه‌های آنلاین یافت شده، می‌تواند به هر اپلیکیشنی که در گوشی اجرا می‌شود حمله کند، که به تروجان قابلیت‌های تقریباً نامحدودی می‌دهد. این بدافزار می‌تواند:

• پیامک‌ها و تماس‌ها را کنترل کند،
• اطلاعات حساب‌های رمزارزی را سرقت کند،
• اپلیکیشن‌های جدید دانلود و اجرا کند،
• لینک‌های مرورگرها را تغییر داده و کاربران را به سایت‌های تبلیغاتی یا فیشینگ هدایت کند،
• پیام‌هایی را در پیام‌رسان‌ها به‌طور مخفیانه ارسال کند،
• حساب‌های شبکه‌های اجتماعی را ربوده و کنترل کند.

Triada  به گونه‌ای طراحی شده که با اجرای هر اپلیکیشن، در آن نفوذ می‌کند. همچنین ماژول‌هایی اختصاصی برای هدف قرار دادن اپلیکیشن‌های محبوب دارد:

تلگرام:دو ماژول برای نفوذ به تلگرام دانلود می‌شود. یکی از آنها روزی یک بار به سرور فرماندهی (C2) متصل شده و شماره تلفن قربانی و داده‌های احراز هویت، از جمله توکن دسترسی را ارسال می‌کند. ماژول دوم همه پیام‌ها را فیلتر کرده و نوتیفیکیشن‌های مربوط به لاگین‌های جدید را حذف می‌کند.

اینستاگرام:تروجان با جستجوی کوکی‌های سشن فعال، آنها را یافته و به مهاجمان ارسال می‌کند. این داده‌ها اجازه می‌دهد مهاجمان کنترل کامل حساب را در دست بگیرند.

مرورگرها:مرورگرهایی مثل کروم، اپرا و موزیلا را هدف قرار داده است. این ماژول لینک‌های قانونی مرورگر را به طور تصادفی به سایت‌های تبلیغاتی هدایت می‌کند و می‌تواند کاربران را به صفحات فیشینگ نیز منتقل کند.

واتس‌اپ:در اینجا هم دو ماژول فعال است؛ یکی اطلاعات سشن فعال را هر پنج دقیقه یک‌بار به سرور فرماندهی ارسال می‌کند و دیگری عملکرد ارسال و دریافت پیام‌ها را دستکاری می‌کند تا پیام‌های مخرب ارسال و بلافاصله حذف شوند.

لاین:ماژولی که داده‌های داخلی اپلیکیشن، از جمله توکن‌های دسترسی را جمع‌آوری و به سرور مهاجمان ارسال می‌کند.

اسکایپ:گرچه اسکایپ دیگر وقت بازنشستگی‌اش رسیده اما  Triada همچنان ماژولی برای آن دارد که با ارسال توکن‌های احراز هویت به سرور، حساب را قابل دسترسی برای مهاجمان می‌کند.

تیک‌تاک:این ماژول اطلاعات گسترده‌ای درباره حساب قربانی از طریق فایل‌های کوکی جمع‌آوری کرده و داده‌های لازم برای تعامل با API تیک‌تاک را استخراج می‌کند.

فیسبوک:دو ماژول فیسبوک را هدف قرار می‌دهند: یکی کوکی‌های احراز هویت را سرقت می‌کند و دیگری اطلاعات دستگاه آلوده را به سرور فرماندهی می‌فرستد.

علاوه بر این، Triada شامل ماژول‌هایی برای دستکاری پیامک‌ها و تماس‌ها می‌شود:

• اولین ماژول پیامک، همه پیام‌های دریافتی را فیلتر کرده، کدها را استخراج کرده و پیام‌های دلخواه را ارسال می‌کند.
• ماژول کمکی، محافظت داخلی اندروید در برابر ارسال پیامک به شماره‌های ویژه (اس‌ام‌اس پریمیوم)  را غیرفعال می‌کند، که می‌تواند منجر به ثبت نام ناخواسته در سرویس‌های پولی شود.
• ماژول تماس تلفنی نیز در اپلیکیشن تماس جاسازی شده و در حال توسعه است؛ این ماژول قابلیت تغییر شماره تماس(اسپوف) را فراهم می‌کند.

یک ماژول دیگر گوشی آلوده را به یک پراکسی معکوس تبدیل می‌کند، و مهاجمان می‌توانند از آدرس IP قربانی برای انجام فعالیت‌های خود استفاده کنند.

سرقت رمزارز: Triada همچنین کاربران رمزارز را هدف قرار می‌دهد. این بدافزار با نظارت بر کلیپ‌بورد، هر زمان که قربانی قصد انتقال ارز دیجیتال داشته باشد، آدرس کیف پول مقصد را با کیف پول متعلق به مهاجمان جایگزین می‌کند. حتی دکمه‌های برنامه‌های مالی را دستکاری کرده و کد QR جعلی ایجاد می‌کند. از ژوئن ۲۰۲۴ تاکنون، مهاجمان با این روش بیش از ۲۶۴ هزار دلار ارز دیجیتال سرقت کرده‌اند.

نحوه آلودگی گوشی‌ها

در تمامی موارد مشاهده شده، نام سفت‌افزار گوشی‌های آلوده تنها در یک حرف با نسخه رسمی تفاوت داشت — برای مثال، سفت‌افزار رسمی TGPMIXM بود اما نسخه آلوده TGPMIXN ثبت شده بود. کاربران در انجمن‌های مختلف آنلاین از خرید گوشی‌های تقلبی شکایت کرده بودند.

به نظر می‌رسد که بخشی از زنجیره تأمین آلوده شده و فروشگاه‌های آنلاین از فروش این دستگاه‌های آلوده بی‌اطلاع بوده‌اند. تعیین زمان دقیق آلودگی گوشی‌ها تقریباً غیرممکن است.

چگونه از خود در برابر Triada محافظت کنیم؟

• گوشی‌های هوشمند را فقط از نمایندگی‌ها و فروشگاه‌های رسمی تهیه کنید.
• در صورت مشکوک شدن به آلودگی، از استفاده از اپلیکیشن‌های مشکوک یا انجام تراکنش‌های مالی خودداری کنید.
• از آنتی‌ویروس‌های معتبر مانند Kaspersky برای اسکن گوشی استفاده کنید.
• در صورت شناسایی آلودگی، گوشی خود را با فریمور رسمی مجدداً فلش کرده یا به مراکز خدمات معتبر مراجعه کنید.
• تنظیمات حریم خصوصی حساب‌های پیام‌رسان و شبکه‌های اجتماعی خود را بازبینی کرده، نشست‌های فعال مشکوک را ببندید و رمزهای عبور خود را تغییر دهید.
• از راهنماهای امنیتی مانند Privacy Checker برای تنظیم بهتر حریم خصوصی دستگاه‌ها و اپلیکیشن‌های خود استفاده کنید.

برای مشاهده فهرست کامل ویژگی‌های Triada و تحلیل فنی دقیق آن، می‌توانید به گزارش منتشر شده درسکیورلیست مراجعه کنید.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.