تروجان تریادا (Triada) در گوشی ‌های تقلبی

گوشی‌ های هوشمند تقلبی که شبیه برندهای معروف ساخته شده‌ اند و به صورت آنلاین فروخته می ‌شوند، از قبل به تروجان قدرتمند تریادا (Triada) آلوده شده ‌اند.

مراسم آشنای پرداخت در فروشگاه: پس از اسکن کردن تمام اقلام، فروشنده با لبخندی امیدوارانه پیشنهادی می ‌دهد: "یک شکلات نمی‌ خواهید؟ کیفیتش عالی و تخفیفش وسوسه ‌کننده است." اگر خوش ‌شانس باشید، یک خوراکی خوشمزه را با قیمتی مناسب دریافت می ‌کنید. اما در اغلب مواقع، قصد دارند کالایی را که فروش خوبی نداشته به شما بفروشند؛ محصولی که یا تاریخ انقضایش نزدیک است یا ایراد پنهان دیگری دارد.

حال تصور کنید که پیشنهاد خرید شکلات را رد کرده ‌اید، اما به طور مخفیانه در کیف یا حتی بدتر، در جیب شما قرار داده شده، ذوب می‌ شود و لباس ‌هایتان را کثیف و روزتان را خراب می ‌کند. چیزی مشابه این برای افرادی که از بازارهای آنلاین گوشی ‌های تقلبی برندهای معروف را خریداری کردند، اتفاق افتاده است. آن ‌ها شکلاتی دریافت نکردند. بلکه یک گوشی هوشمند جدید خریدند که تروجان تریادا (Triada) در آن جاسازی شده بود. این وضعیت بسیار بدتر از ذوب شدن شکلات است. دارایی ‌های رمزارزی آن ‌ها، به همراه حساب ‌های تلگرام، واتس ‌اپ و سایر شبکه ‌های اجتماعی ‌شان، ممکن است به سرقت برود. ممکن است شخصی پیام‌ های متنی و بسیاری اطلاعات دیگر آن ‌ها را سرقت کند یا از بین ببرد.

تروجان تریادا (Triada) که در سال ۲۰۱۶ برای نخستین بار کشف شد، بدافزاری است که تقریبا به تمامی فرآیندهای فعال در دستگاه نفوذ می ‌کند و در عین حال تنها در حافظه موقت (RAM) باقی می‌ ماند.

ظهور تریادا (Triada) آغازگر دوره جدیدی در سیر پیشرفت تهدیدات موبایلی برای اندروید بود. پیش از آن، تروجان‌ ها فعالیت چندان خطرناکی نداشتند و بیشتر برای نمایش تبلیغات یا دانلود بدافزارهای دیگر به کار می ‌رفتند. اما با ظهور این تهدید جدید، مشخص شد که دوران تهدیدات ساده به پایان رسیده است.

با گذشت زمان، توسعه‌ دهندگان اندروید آسیب ‌پذیری‌ هایی را که نسخه ‌های اولیه تریادا از آن ‌ها سوء استفاده می ‌کردند، اصلاح کردند. نسخه ‌های جدید اندروید حتی دسترسی به بخش ‌های سیستمی را برای کاربران با دسترسی روت نیز محدود کردند. اما آیا این اقدام جلوی مجرمان سایبری را گرفت؟ شما چه فکر می ‌کنید؟!

اکنون، در مارس ۲۰۲۵، نسخه ‌ای از تریادا (Triada) کشف شد که محدودیت ‌های تازه اندروید را دور می ‌زند. این عامل تهدید، فریمور (Firmware) دستگاه را پیش از عرضه به بازار آلوده می ‌کند و در پارتیشن های سیستمی به‌ گونه ‌ای نصب می ‌شود که حذف آن تقریبا غیر ممکن است.

آنتی ویروس کسپرسکی اندروید (Kaspersky for Android) نسخه جدید تریادا را با نام Backdoor.AndroidOS.Triada.z شناسایی می‌ کند. این همان نسخه‌ ای است که در فریمور گوشی ‌های تقلبی اندروید موجود در بازارهای آنلاین جاسازی شده است. این بدافزار می‌ تواند به هر برنامه ‌ای که روی دستگاه اجرا می‌ شود حمله کند و به همین دلیل، عملا از قابلیت ‌های نامحدودی برخوردار است. تریادا می ‌تواند پیامک ‌ها و تماس‌ های کاربر را کنترل کند، دارایی ‌های رمزارزی را به سرقت ببرد، برنامه‌ های دیگری را دانلود و اجرا کند، لینک ‌های مرورگر را تغییر دهد، به‌ طور مخفیانه از طرف کاربر در اپلیکیشن ‌های چت پیام ارسال کند و حساب ‌های کاربری شبکه ‌های اجتماعی را در اختیار بگیرد.

نسخه ‌ای از تریادا (Triada) به هر برنامه‌ ای که روی دستگاه آلوده اجرا می ‌شود، نفوذ می‌ کند. علاوه بر این، این تروجان شامل ماژول‌ های ویژه ‌ای است که برنامه‌ های پرطرفدار را هدف قرار می‌ دهند. به محض آنکه کاربر برنامه ‌ای معتبر مانند تلگرام یا تیک ‌تاک را دانلود کند، تریادا خود را در آن جاسازی کرده و فعالیت ‌های مخرب خود را آغاز می‌ کند.

تریادا برای آلوده کردن تلگرام دو ماژول جداگانه دانلود می ‌کند. ماژول اول، روزی یک بار فعالیت مخرب خود را آغاز کرده و با اتصال به یک سرور فرمان و کنترل (C2)، شماره تلفن قربانی و اطلاعات کامل احراز هویت - از جمله توکن دسترسی - را برای مهاجمان ارسال می‌ کند. ماژول دوم نیز با فیلتر کردن تمامی پیام ‌ها و برقراری ارتباط با یک ربات، پیام‌ های هشدار مربوط به ورود کاربران جدید به حساب تلگرام را حذف می ‌کند.

تریادا روزی یک بار فعالیت مخربی را اجرا می ‌کند تا کوکی‌ های نشست ‌های فعال اینستاگرام را جست ‌و جو کرده و اطلاعات آن‌ ها را به مهاجمان ارسال کند. این فایل‌ ها به مهاجمان امکان می‌ دهند تا کنترل کامل حساب کاربری قربانی را در اختیار بگیرند.

تریادا تهدیدی برای تعدادی از مرورگرها از جمله کروم، اپرا، موزیلا و برخی دیگر به حساب می ‌آید. فهرست کامل این مرورگرها در مقاله Securelist موجود است. ماژول بدافزار از طریق پروتکل TCP به سرور C2 متصل شده و به طور تصادفی لینک‌ های معتبر موجود در مرورگرها را به سمت سایت ‌های تبلیغاتی هدایت می‌ کند. با این حال، به دلیل اینکه تروجان لینک ‌های ریدایرکت را از سرور C2 خود دریافت می ‌کند، مهاجمان می ‌توانند در هر لحظه کاربران را به وب‌ سایت‌ های فیشینگ هدایت کنند.

در اینجا هم دو ماژول وجود دارد. ماژول اول هر پنج دقیقه داده‌ های مربوط به نشست فعال را جمع ‌آوری کرده و به سرور C2 ارسال می ‌کند. این امر به مهاجمان اجازه می ‌دهد تا کاملا به حساب کاربری قربانی دسترسی پیدا کنند. ماژول دوم عملکردهای کلاینت را برای ارسال و دریافت پیام ‌ها رهگیری کرده و به بدافزار این امکان را می‌ دهد که پیام‌ های فوری دلخواه را ارسال کرده و پس از آن، برای پوشاندن ردپای خود، آن‌ ها را حذف کند.

ماژول اختصاصی تریادا هر ۳۰ ثانیه داده‌ های داخلی برنامه (اطلاعات احراز هویت و توکن دسترسی) را جمع ‌آوری کرده و آن‌ ها را به سرور C2 ارسال می ‌کند. در این حالت هم، شخص دیگری کنترل کامل حساب کاربری را به دست می ‌آورد.

اگرچه اسکایپ به زودی بازنشسته می ‌شود اما تریادا هنوز ماژولی برای آلوده کردن آن دارد. تریادا از روش ‌های مختلفی برای به ‌دست آوردن توکن احراز هویت استفاده کرده و سپس آن را به سرور C2 ارسال می ‌کند.

این ماژول قادر است داده ‌های زیادی در مورد حساب کاربری قربانی از فایل ‌های کوکی موجود در دایرکتوری داخلی جمع‌ آوری کند و همچنین داده ‌های مورد نیاز برای ارتباط با API تیک ‌تاک را استخراج نماید.

تریادا با دو ماژول برای این برنامه تجهیز شده است. یکی از ماژول‌ ها کوکی ‌های احراز هویت را به سرقت می برد و دیگری اطلاعات مربوط به دستگاه آلوده را به سرور C2 ارسال می‌ کند.

البته ماژول ‌هایی برای پیامک و تماس ‌ها نیز وجود دارند. ماژول اول پیامک، به بدافزار اجازه می ‌دهد که تمامی پیام ‌های دریافتی را فیلتر کرده و کدهای موجود در آن‌ ها را استخراج کند، به برخی از پیام‌ ها پاسخ دهد (احتمالا برای ثبت ‌نام قربانی در سرویس ‌های پولی بدون اطلاع او) و همچنین پیامک‌ های دلخواه را طبق دستورات سرور C2 ارسال کند. ماژول دوم که به‌ عنوان ماژول کمکی عمل می کند، سیستم محافظت داخلی اندروید (که هنگام ارسال پیامک به شماره‌ های کوتاه نیاز به تایید کاربر دارد) را غیرفعال می ‌کند. این اقدام می ‌تواند به مهاجمان امکان دهد قربانی را بدون آگاهی در سرویس‌ های پرداختی ثبت‌ نام کنند.

ماژول تماس در اپلیکیشن تلفن جاسازی شده است، اما احتمالا هنوز در حال توسعه است. ما متوجه شدیم که این ماژول بخشی از قابلیت جعل شماره تلفن را پیاده‌ سازی کرده است. (پیش‌ بینی می ‌شود به زودی تکمیل شود).

علاوه بر این، تریادا دارای یک ماژول پراکسی معکوس است که گوشی هوشمند قربانی را به یک واسطه برای ارتباطات اینترنتی تبدیل می‌ کند. به این ترتیب، مهاجمان می‌ توانند از اینترنت دستگاه قربانی استفاده کرده و به وب ‌سایت‌ ها یا سرورهای مختلف متصل شوند، طوری که به نظر برسد این ارتباط از طرف قربانی انجام شده است. این موضوع می ‌تواند باعث شود که هرگونه فعالیت غیرقانونی یا مشکوک به نام قربانی ثبت شود، در حالی که او کاملا بی ‌اطلاع است.

همانطور که قابل پیش‌ بینی بود، تریادا دارندگان رمزارز را نیز هدف قرار می‌ دهد. کلیپر (Clipper): این تروجان فعالیت کلیپ ‌بورد را زیر نظر گرفته و در صورت تشخیص یک آدرس کیف پول رمزارز، آن را با یکی از آدرس‌ های متعلق به مهاجمان جایگزین می ‌کند. ابزار سرقت رمزارز (Crypto Stealer) رفتار قربانی را تحلیل کرده و هر جایی که امکان برداشت رمزارز وجود داشته باشد، آدرس کیف پول وارد شده را با یک آدرس جعلی جایگزین می‌ کند. این ابزار حتی می ‌تواند در عملکرد دکمه‌ های اپلیکیشن ‌ها دخالت کند و تصاویر مربوط به کیف پول را با کدهای QR جعلی جایگزین نماید، به طوری که اسکن این کدها قربانی را به کیف پول مهاجمان هدایت کند. با کمک این ابزارها، مجرمان سایبری از ۱۳ ژوئن ۲۰۲۴ تاکنون موفق شده ‌اند بیش از ۲۶۴ هزار دلار آمریکا رمزارز را به سرقت ببرند.

در تمام موارد آلودگی که بررسی کردیم، نام فریمور دستگاه با نسخه رسمی تنها در یک حرف تفاوت داشت. به عنوان مثال، فریمور رسمی TGPMIXM بود، در حالی که در گوشی‌ های آلوده این نام به TGPMIXN تغییر یافته بود. همچنین در انجمن ‌های تخصصی، پست ‌هایی یافتیم که کاربران از خرید دستگاه ‌های تقلبی از فروشگاه‌ های آنلاین شکایت کرده بودند.

احتمالا یکی از مراحل زنجیره تامین دچار نفوذ شده است و فروشگاه‌ ها از این موضوع که دستگاه ‌های آلوده به تریادا را توزیع می ‌کنند، بی ‌اطلاع بوده ‌اند. در عین حال، تعیین دقیق زمان قرارگیری بدافزار در داخل گوشی ‌های هوشمند عملا غیرممکن است.

نسخه جدید این تروجان به صورت پیش‌ فرض روی دستگاه‌ های تقلبی نصب شده بود. بنابراین، بهترین راه برای جلوگیری از آلودگی به تریادا، خرید گوشی‌ های هوشمند از فروشندگان مجاز و معتبر است. اگر مشکوک هستید که گوشی شما ممکن است به تریادا یا بدافزار دیگری آلوده شده باشد، در ادامه چند توصیه برای شما داریم:

• تا حد امکان از اپلیکیشن ‌های مشکوک فهرست ‌شده در بالا یا انجام هرگونه تراکنش مالی - از جمله تراکنش ‌های رمزارزی - خودداری کنید.
• آنتی ویروس Kaspersky for Android را روی گوشی خود نصب کنید تا بررسی کند آیا دستگاه شما آلوده شده است یا خیر.
  برای خرید نسخه اورجینال آنتی ویروس کسپرسکی اندروید می توانید به فروشگاه ایده ارتباط تراشه مراجعه کنید.
• اگر تریادا روی گوشی شناسایی شد، دستگاه را با استفاده از فریمور رسمی مجددا فلش کنید یا به یک مرکز خدمات معتبر مراجعه نمایید. همچنین آماده باشید که ممکن است با تغییرات غیرمنتظره ‌ای در مشخصات گوشی خود مواجه شوید؛ زیرا علاوه بر نصب بدافزار، در بسیاری از موارد، نسخه‌ های جعلی فریمور میزان RAM و فضای ذخیره ‌سازی را به دروغ، بیشتر از مقدار واقعی اعلام می ‌کنند.
• اگر مشخص شد که گوشی هوشمند شما به تریادا آلوده شده است، تمام اپلیکیشن ‌های پیام ‌رسان و شبکه‌ های اجتماعی را که ممکن است تحت تاثیر قرار گرفته باشند، بررسی کنید. در اپلیکیشن‌ های پیام ‌رسان، حتما تمام نشست ‌های فعال روی دستگاه ‌هایی که به آن‌ ها دسترسی ندارید یا آن ‌ها را نمی ‌شناسید، پایان دهید و تنظیمات حریم خصوصی خود را طبق راهنمای ما در مقاله‌ "در صورت هک شدن واتساپ (WhatsApp) چه باید کرد؟" و "در صورت هک شدن تلگرام (Telegram) چه باید کرد؟" را بخوانید. همچنین توصیه می‌شود همه نشست‌ های فعال در حساب ‌های شبکه‌ های اجتماعی خود را روی تمام دستگاه ‌ها پایان دهید و رمزهای عبور خود را تغییر دهید. در این مسیر، خرید کسپرسکی پسورد منیجر (Kaspersky Password Manager) می ‌تواند به شما کمک کند.