{"id":30910,"date":"2025-04-30T15:19:33","date_gmt":"2025-04-30T13:19:33","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=30910"},"modified":"2025-04-30T15:19:33","modified_gmt":"2025-04-30T13:19:33","slug":"trojan-in-fake-smartphones","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/trojan-in-fake-smartphones\/30910\/","title":{"rendered":"Troyano incrustado en tel\u00e9fonos inteligentes Android falsos"},"content":{"rendered":"

El conocido ritual de pago en el supermercado: la cajera ya escane\u00f3 todo y te ofrece con una sonrisa esperanzadora: \u201c\u00bfUn chocolatina para el camino? Est\u00e1 riqu\u00edsima y tiene un gran descuento\u201d. Si tienes suerte, consigues un delicioso snack a un precio estupendo. Pero lo m\u00e1s frecuente es que intenten venderte algo que no se vende bien: o est\u00e1 a punto de caducar o tiene alg\u00fan otro defecto oculto.<\/p>\n

Ahora, imagina que rechazas esa chocolatina, pero te la metieron a escondidas en el bolso, o peor a\u00fan, en el bolsillo, donde se derriti\u00f3 y te estrope\u00f3 la ropa, estrope\u00e1ndote el d\u00eda. Bueno, algo similar les sucedi\u00f3 a aquellos que compraron imitaciones de marcas populares de tel\u00e9fonos inteligentes en mercados en l\u00ednea. No, no recibieron una chocolatina. Se marcharon con un tel\u00e9fono inteligente nuevo que ten\u00eda el troyano Triada integrado en su firmware.<\/p>\n

Esto es mucho peor que el chocolate derretido. Sus saldos de criptomonedas, junto con sus cuentas de Telegram, WhatsApp y redes sociales, podr\u00edan desaparecer antes de que puedan decir \u201c\u00a1qu\u00e9 ganga!\u201d. Alguien podr\u00eda robar sus mensajes de texto y mucho m\u00e1s.<\/p>\n

\u00bfTriada? \u00bfQu\u00e9 es Triada?<\/h2>\n

Ese es el nombre que en Kaspersky le dimos al troyano que descubrimos por primera vez y describimos en detalle<\/a> en 2016. Este malware m\u00f3vil se infiltra en casi todos los procesos que se ejecutan en un dispositivo y reside \u00fanicamente en la RAM.<\/p>\n

La aparici\u00f3n de Triada marc\u00f3 una nueva era en la evoluci\u00f3n de las amenazas m\u00f3viles dirigidas a Android. Antes de Triada, los troyanos eran relativamente inofensivos: m\u00e1s que nada mostraban anuncios y descargaban otros troyanos. Esta nueva amenaza demostr\u00f3 que nada volver\u00eda a ser igual.<\/p>\n

Con el tiempo, los desarrolladores de Android solucionaron las vulnerabilidades que explotaban las primeras versiones de Triada. Las versiones recientes de Android restringen incluso a los usuarios con privilegios de usuario ra\u00edz la edici\u00f3n de particiones del sistema. \u00bfEsto detuvo a los ciberdelincuentes? \u00bfQu\u00e9 crees?<\/p>\n

Si avanzamos r\u00e1pidamente hasta marzo de 2025, descubrimos una versi\u00f3n adaptada de Triada que aprovecha las nuevas restricciones. El actor de amenazas infecta el firmware incluso antes de que se vendan los tel\u00e9fonos inteligentes. Como viene preinstalado en las particiones del sistema, el malware resulta casi imposible de eliminar.<\/p>\n

\u00bfDe qu\u00e9 es capaz esta nueva versi\u00f3n?<\/h2>\n

Nuestra soluci\u00f3n de seguridad para Android<\/a>\u00a0<\/b>detecta la nueva versi\u00f3n de Triada como Backdoor.AndroidOS.Triada.z<\/strong>. Esta nueva versi\u00f3n es la que est\u00e1 integrada en el firmware de los tel\u00e9fonos inteligentes Android falsos que se venden en los mercados en l\u00ednea. Puede atacar cualquier<\/em> aplicaci\u00f3n que se ejecute en el dispositivo. Esto le otorga al troyano capacidades pr\u00e1cticamente ilimitadas. Puede controlar mensajes de texto y llamadas, robar criptomonedas, descargar y ejecutar otras aplicaciones, reemplazar enlaces en navegadores, enviar mensajes clandestinamente en aplicaciones de chat en tu nombre y secuestrar cuentas de redes sociales.<\/p>\n

Se infiltra una copia de Triada en cada aplicaci\u00f3n que se abre en un dispositivo infectado. Adem\u00e1s de eso, el troyano incluye m\u00f3dulos especializados que atacan aplicaciones populares. Tan pronto como el usuario descarga una aplicaci\u00f3n leg\u00edtima como Telegram o TikTok, el troyano se incrusta en ella y comienza a causar da\u00f1os.<\/p>\n

Telegram. <\/strong>Triada descarga dos m\u00f3dulos para poner en riesgo a Telegram. El primero inicia una actividad maliciosa una vez al d\u00eda conect\u00e1ndose a un servidor de comando y control (C2). Env\u00eda el n\u00famero de tel\u00e9fono de la v\u00edctima a los delincuentes, junto con datos de autenticaci\u00f3n completos, incluido el token de acceso. El segundo m\u00f3dulo filtra todos los mensajes, interact\u00faa con un bot (que no exist\u00eda en el momento de nuestra investigaci\u00f3n) y elimina las notificaciones sobre nuevos inicios de sesi\u00f3n en Telegram.<\/p>\n

Instagram.<\/strong> Una vez al d\u00eda, el troyano ejecuta una tarea maliciosa para buscar cookies de sesiones activas y enviar los datos a los atacantes. Estos archivos ayudan a los delincuentes a asumir el control total de la cuenta.<\/p>\n

Navegadores. <\/strong>Triada amenaza a varios navegadores: Chrome, Opera, Mozilla y algunos otros. La lista completa est\u00e1 disponible en el art\u00edculo de Securelist<\/a>. El m\u00f3dulo se conecta al servidor C2 a trav\u00e9s de TCP y redirige aleatoriamente enlaces leg\u00edtimos en los navegadores a sitios de publicidad por ahora. Sin embargo, debido a que el troyano descarga enlaces de redirecci\u00f3n desde su servidor C2, los atacantes pueden dirigir a los usuarios a sitios de phishing en cualquier momento.<\/p>\n

WhatsApp.<\/strong> Consta de dos m\u00f3dulos. El primero recopila y env\u00eda datos sobre la sesi\u00f3n activa al servidor C2 cada cinco minutos, lo que brinda a los atacantes acceso completo a la cuenta de la v\u00edctima. El segundo intercepta las funciones del cliente para enviar y recibir mensajes, lo que permite al malware enviar y luego eliminar mensajes instant\u00e1neos arbitrarios para cubrir sus huellas.<\/p>\n

LINE.<\/strong> El m\u00f3dulo espec\u00edfico de Triada recopila datos internos de la aplicaci\u00f3n, incluidos datos de autenticaci\u00f3n (token de acceso), cada 30\u00a0segundos y los env\u00eda al servidor C2. Tambi\u00e9n en este caso otra persona asume el control total de la cuenta del usuario.<\/p>\n

Skype.<\/strong> Aunque Skype est\u00e1 a punto de retirarse<\/a>, Triada todav\u00eda tiene un m\u00f3dulo para infectarlo. Triada utiliza varios m\u00e9todos para obtener el token de autenticaci\u00f3n y luego lo env\u00eda al servidor C2.<\/p>\n

TikTok. <\/strong>Este m\u00f3dulo puede recopilar una gran cantidad de datos sobre la cuenta de la v\u00edctima a partir de archivos de cookies en el directorio interno y tambi\u00e9n extraer los datos necesarios para comunicarse con la API de TikTok.<\/p>\n

Facebook. <\/strong>Triada incluye dos m\u00f3dulos para esta aplicaci\u00f3n. Uno de ellos roba cookies de autenticaci\u00f3n y el otro env\u00eda informaci\u00f3n sobre el dispositivo infectado al servidor C2.<\/p>\n

Por supuesto, tambi\u00e9n hay m\u00f3dulos de SMS y de llamadas<\/strong>. El primer m\u00f3dulo de SMS<\/strong> permite al malware filtrar todos los mensajes entrantes y extraer c\u00f3digos de ellos, responder a algunos mensajes (probablemente para suscribir a las v\u00edctimas a servicios pagos) y enviar mensajes SMS arbitrarios cuando lo ordena el servidor C2. El segundo m\u00f3dulo auxiliar desactiva la protecci\u00f3n integrada de Android contra troyanos de SMS que solicitan permiso de usuario antes de enviar mensajes con c\u00f3digos cortos (SMS Premium) que podr\u00edan usarse para confirmar suscripciones pagas.<\/p>\n

El m\u00f3dulo de llamadas<\/strong> se integra en la aplicaci\u00f3n del tel\u00e9fono, pero lo m\u00e1s probable es que a\u00fan est\u00e9 en desarrollo. Descubrimos que implementa parcialmente la suplantaci\u00f3n de n\u00fameros de tel\u00e9fono, algo que esperamos que se complete pronto.<\/p>\n

Otro m\u00f3dulo, un proxy inverso<\/strong>, convierte el tel\u00e9fono inteligente de la v\u00edctima en un servidor proxy inverso y les brinda a los atacantes acceso a direcciones IP arbitrarias en nombre de la v\u00edctima.<\/p>\n

Como era de esperar, Triada tambi\u00e9n apunta a los propietarios de criptomonedas y les brinda una sorpresa especial: un clipper<\/strong>. El troyano busca en el portapapeles direcciones de carteras de criptomonedas y las sustituye por una direcci\u00f3n de los atacantes. Un ladr\u00f3n de criptomonedas<\/strong> analiza la actividad de la v\u00edctima y reemplaza las direcciones de carteras de criptomonedas con direcciones fraudulentas en cualquier lugar que pueda, cada vez que se intenta retirar criptomonedas. Incluso interfiere con los controladores de pulsaci\u00f3n de botones dentro de las aplicaciones y reemplaza las im\u00e1genes con c\u00f3digos QR generados que se vinculan a las direcciones de carteras de los atacantes. Los delincuentes han logrado robar m\u00e1s de 264\u00a0000 USD en diversas criptomonedas desde el 13 de junio de 2024 con la ayuda de estas herramientas.<\/p>\n

Consulta nuestro informe Securelist<\/a> para obtener una lista completa de las caracter\u00edsticas de Triada y un an\u00e1lisis t\u00e9cnico detallado.<\/p>\n

C\u00f3mo se infiltra el malware en los tel\u00e9fonos inteligentes<\/h2>\n

En cada caso de infecci\u00f3n que conocemos, el nombre del firmware del dispositivo difer\u00eda del oficial en una sola letra. Por ejemplo, el firmware oficial era TGPMIXM<\/strong>, mientras que los tel\u00e9fonos infectados ten\u00edan TGPMIXN<\/strong>. Encontramos publicaciones en foros de discusi\u00f3n relevantes donde los usuarios se quejaban de dispositivos falsificados comprados en tiendas en l\u00ednea.<\/p>\n

Es probable que una etapa de la cadena de suministro se viera vulnerada, mientras que las tiendas no ten\u00edan idea de que estaban distribuyendo dispositivos infectados con Triada. Mientras tanto, es pr\u00e1cticamente imposible determinar exactamente cu\u00e1ndo se coloc\u00f3 el malware dentro de los tel\u00e9fonos inteligentes.<\/p>\n

C\u00f3mo puedes protegerte de Triada<\/h2>\n

Se detect\u00f3 la nueva versi\u00f3n del troyano preinstalada en dispositivos falsificados. Por lo tanto, la mejor manera de evitar la infecci\u00f3n por Triada es comprar tel\u00e9fonos inteligentes \u00fanicamente en distribuidores autorizados. Si sospechas que tu tel\u00e9fono puede haber sido infectado con Triada (u otro troyano), estas son nuestras recomendaciones.<\/p>\n