android

Troyano incrustado en teléfonos inteligentes Android falsos

Los smartphones falsificados que imitan marcas conocidas y se ofrecen en línea traen preinstalado el poderoso troyano Triada.

Dmitry Kalinin
30 Abr 2025

El conocido ritual de pago en el supermercado: la cajera ya escaneó todo y te ofrece con una sonrisa esperanzadora: “¿Un chocolatina para el camino? Está riquísima y tiene un gran descuento”. Si tienes suerte, consigues un delicioso snack a un precio estupendo. Pero lo más frecuente es que intenten venderte algo que no se vende bien: o está a punto de caducar o tiene algún otro defecto oculto.

Ahora, imagina que rechazas esa chocolatina, pero te la metieron a escondidas en el bolso, o peor aún, en el bolsillo, donde se derritió y te estropeó la ropa, estropeándote el día. Bueno, algo similar les sucedió a aquellos que compraron imitaciones de marcas populares de teléfonos inteligentes en mercados en línea. No, no recibieron una chocolatina. Se marcharon con un teléfono inteligente nuevo que tenía el troyano Triada integrado en su firmware.

Esto es mucho peor que el chocolate derretido. Sus saldos de criptomonedas, junto con sus cuentas de Telegram, WhatsApp y redes sociales, podrían desaparecer antes de que puedan decir “¡qué ganga!”. Alguien podría robar sus mensajes de texto y mucho más.

¿Triada? ¿Qué es Triada?

Ese es el nombre que en Kaspersky le dimos al troyano que descubrimos por primera vez y describimos en detalle en 2016. Este malware móvil se infiltra en casi todos los procesos que se ejecutan en un dispositivo y reside únicamente en la RAM.

La aparición de Triada marcó una nueva era en la evolución de las amenazas móviles dirigidas a Android. Antes de Triada, los troyanos eran relativamente inofensivos: más que nada mostraban anuncios y descargaban otros troyanos. Esta nueva amenaza demostró que nada volvería a ser igual.

Con el tiempo, los desarrolladores de Android solucionaron las vulnerabilidades que explotaban las primeras versiones de Triada. Las versiones recientes de Android restringen incluso a los usuarios con privilegios de usuario raíz la edición de particiones del sistema. ¿Esto detuvo a los ciberdelincuentes? ¿Qué crees?

Si avanzamos rápidamente hasta marzo de 2025, descubrimos una versión adaptada de Triada que aprovecha las nuevas restricciones. El actor de amenazas infecta el firmware incluso antes de que se vendan los teléfonos inteligentes. Como viene preinstalado en las particiones del sistema, el malware resulta casi imposible de eliminar.

¿De qué es capaz esta nueva versión?

Nuestra solución de seguridad para Android detecta la nueva versión de Triada como Backdoor.AndroidOS.Triada.z. Esta nueva versión es la que está integrada en el firmware de los teléfonos inteligentes Android falsos que se venden en los mercados en línea. Puede atacar cualquier aplicación que se ejecute en el dispositivo. Esto le otorga al troyano capacidades prácticamente ilimitadas. Puede controlar mensajes de texto y llamadas, robar criptomonedas, descargar y ejecutar otras aplicaciones, reemplazar enlaces en navegadores, enviar mensajes clandestinamente en aplicaciones de chat en tu nombre y secuestrar cuentas de redes sociales.

Se infiltra una copia de Triada en cada aplicación que se abre en un dispositivo infectado. Además de eso, el troyano incluye módulos especializados que atacan aplicaciones populares. Tan pronto como el usuario descarga una aplicación legítima como Telegram o TikTok, el troyano se incrusta en ella y comienza a causar daños.

Telegram. Triada descarga dos módulos para poner en riesgo a Telegram. El primero inicia una actividad maliciosa una vez al día conectándose a un servidor de comando y control (C2). Envía el número de teléfono de la víctima a los delincuentes, junto con datos de autenticación completos, incluido el token de acceso. El segundo módulo filtra todos los mensajes, interactúa con un bot (que no existía en el momento de nuestra investigación) y elimina las notificaciones sobre nuevos inicios de sesión en Telegram.

Instagram. Una vez al día, el troyano ejecuta una tarea maliciosa para buscar cookies de sesiones activas y enviar los datos a los atacantes. Estos archivos ayudan a los delincuentes a asumir el control total de la cuenta.

Navegadores. Triada amenaza a varios navegadores: Chrome, Opera, Mozilla y algunos otros. La lista completa está disponible en el artículo de Securelist. El módulo se conecta al servidor C2 a través de TCP y redirige aleatoriamente enlaces legítimos en los navegadores a sitios de publicidad por ahora. Sin embargo, debido a que el troyano descarga enlaces de redirección desde su servidor C2, los atacantes pueden dirigir a los usuarios a sitios de phishing en cualquier momento.

WhatsApp. Consta de dos módulos. El primero recopila y envía datos sobre la sesión activa al servidor C2 cada cinco minutos, lo que brinda a los atacantes acceso completo a la cuenta de la víctima. El segundo intercepta las funciones del cliente para enviar y recibir mensajes, lo que permite al malware enviar y luego eliminar mensajes instantáneos arbitrarios para cubrir sus huellas.

LINE. El módulo específico de Triada recopila datos internos de la aplicación, incluidos datos de autenticación (token de acceso), cada 30 segundos y los envía al servidor C2. También en este caso otra persona asume el control total de la cuenta del usuario.

Skype. Aunque Skype está a punto de retirarse, Triada todavía tiene un módulo para infectarlo. Triada utiliza varios métodos para obtener el token de autenticación y luego lo envía al servidor C2.

TikTok. Este módulo puede recopilar una gran cantidad de datos sobre la cuenta de la víctima a partir de archivos de cookies en el directorio interno y también extraer los datos necesarios para comunicarse con la API de TikTok.

Facebook. Triada incluye dos módulos para esta aplicación. Uno de ellos roba cookies de autenticación y el otro envía información sobre el dispositivo infectado al servidor C2.

Por supuesto, también hay módulos de SMS y de llamadas. El primer módulo de SMS permite al malware filtrar todos los mensajes entrantes y extraer códigos de ellos, responder a algunos mensajes (probablemente para suscribir a las víctimas a servicios pagos) y enviar mensajes SMS arbitrarios cuando lo ordena el servidor C2. El segundo módulo auxiliar desactiva la protección integrada de Android contra troyanos de SMS que solicitan permiso de usuario antes de enviar mensajes con códigos cortos (SMS Premium) que podrían usarse para confirmar suscripciones pagas.

El módulo de llamadas se integra en la aplicación del teléfono, pero lo más probable es que aún esté en desarrollo. Descubrimos que implementa parcialmente la suplantación de números de teléfono, algo que esperamos que se complete pronto.

Otro módulo, un proxy inverso, convierte el teléfono inteligente de la víctima en un servidor proxy inverso y les brinda a los atacantes acceso a direcciones IP arbitrarias en nombre de la víctima.

Como era de esperar, Triada también apunta a los propietarios de criptomonedas y les brinda una sorpresa especial: un clipper. El troyano busca en el portapapeles direcciones de carteras de criptomonedas y las sustituye por una dirección de los atacantes. Un ladrón de criptomonedas analiza la actividad de la víctima y reemplaza las direcciones de carteras de criptomonedas con direcciones fraudulentas en cualquier lugar que pueda, cada vez que se intenta retirar criptomonedas. Incluso interfiere con los controladores de pulsación de botones dentro de las aplicaciones y reemplaza las imágenes con códigos QR generados que se vinculan a las direcciones de carteras de los atacantes. Los delincuentes han logrado robar más de 264 000 USD en diversas criptomonedas desde el 13 de junio de 2024 con la ayuda de estas herramientas.

Consulta nuestro informe Securelist para obtener una lista completa de las características de Triada y un análisis técnico detallado.

Cómo se infiltra el malware en los teléfonos inteligentes

En cada caso de infección que conocemos, el nombre del firmware del dispositivo difería del oficial en una sola letra. Por ejemplo, el firmware oficial era TGPMIXM, mientras que los teléfonos infectados tenían TGPMIXN. Encontramos publicaciones en foros de discusión relevantes donde los usuarios se quejaban de dispositivos falsificados comprados en tiendas en línea.

Es probable que una etapa de la cadena de suministro se viera vulnerada, mientras que las tiendas no tenían idea de que estaban distribuyendo dispositivos infectados con Triada. Mientras tanto, es prácticamente imposible determinar exactamente cuándo se colocó el malware dentro de los teléfonos inteligentes.

Cómo puedes protegerte de Triada

Se detectó la nueva versión del troyano preinstalada en dispositivos falsificados. Por lo tanto, la mejor manera de evitar la infección por Triada es comprar teléfonos inteligentes únicamente en distribuidores autorizados. Si sospechas que tu teléfono puede haber sido infectado con Triada (u otro troyano), estas son nuestras recomendaciones.

Evita utilizar cualquiera de las aplicaciones potencialmente vulneradas que mencionamos o de realizar cualquier transacción financiera, incluidas las criptomonedas.
Instala Kaspersky para Android en tu teléfono inteligente para verificar si realmente está infectado.
Si encuentras Triada en el dispositivo, actualiza el firmware oficial del teléfono inteligente tú mismo o ponte en contacto con el centro de servicio local. Espera cambios repentinos en las especificaciones de tu teléfono inteligente: además del troyano preinstalado, el firmware falso a menudo afecta a la RAM y el almacenamiento.
Si descubres que tu teléfono inteligente está infectado con Triada, verifica todas las aplicaciones de mensajería y redes sociales que puedan haber sido vulneradas. Para las aplicaciones de chat, asegúrate de finalizar cualquier sesión que aún esté activa en dispositivos que no reconoces y verifica tu configuración de privacidad de acuerdo con nuestra guía Secuestro de cuentas de WhatsApp y Telegram: cómo protegerse contra estafas. Si sospechas que tus cuentas de mensajería instantánea han sido secuestradas, lee Qué hacer si hackean tu cuenta de WhatsApp o Qué hacer si hackean tu cuenta de Telegram. Cierra todas las sesiones de redes sociales en todos tus dispositivos y cambia tus contraseñas. Kaspersky Password Manager puede ayudarte con eso.
Nuestro portal Privacy Checker ofrece una guía paso a paso sobre cómo configurar la privacidad en diversas aplicaciones y sistemas operativos en general.

Triada está lejos de ser el único troyano móvil. Abre estos enlaces para conocer nuestras historias sobre otro malware de Android:

Cómo el troyano Necro atacó a 11 millones de usuarios de Android

El troyano ladrón SparkCat se infiltra en App Store y Google Play, y roba datos de fotografías

Cuidado con los ladrones disfrazados de… invitaciones de boda

LianSpy: nuevo spyware para dispositivos móviles Android

Cómo ver porno de forma segura: una guía para adultos

Te explicamos dónde y cómo puedes ver porno sin poner en riesgo la seguridad de tus dispositivos ni de tu cartera.

Privacidad y niños

Troyano incrustado en teléfonos inteligentes Android falsos

¿Triada? ¿Qué es Triada?

¿De qué es capaz esta nueva versión?

Cómo se infiltra el malware en los teléfonos inteligentes

Cómo puedes protegerte de Triada

Google obliga a los usuarios a usar Android System SafetyCore para analizar desnudos

Cómo instalar o actualizar las aplicaciones de Kaspersky para Android en 2025

Cómo ver porno de forma segura: una guía para adultos

Consejos

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

6 consejos para conseguir trabajo en la industria de la ciberseguridad (y tener éxito)

Suscríbete para recibir nuevas publicaciones en tu buzón

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia