Зараженный на уровне прошивки смартфон - Backdoor.AndroidOS.Triada

[Александр Самойлов]

Добрый день.

Небольшая предыстория. 24.01.2025 Купил дочке маленькой простой, самый дешевый, смартфон для игр и просмотра мультфильмов. Смартфон (S4 Ultra - совершенно не Samsung [https://ozon.ru/t/Zgo4UD8 - это уже закрыта карточка товара, там я и брал его]) оказался крайне не производительным, чрезвычайно тяжелым на обработку любых действий. Все характеристики в системе явно прописаны вручную, к реальным не имеют ни какого отношение. Было принято решение мой второй телефон (Xiaomi Redmi Note 7) отдать дочери на растерзание, а новый я заберу себе в качестве роутера, для раздачи интернета на работе (работаю вахтой в очень удаленной местности, так что рабочего, проводного, интернета у нас нет, а вот мобильная связь есть у нескольких операторов). Где-то с марта месяца текущего года спокойно использовал его только как роутер, не устанавливая ни чего на него.

12.07.2025 мне в телеграмм прилетает уведомление, что на номер, который у меня работает только как роутер в новом, глючном, смартфоне, ни где не светился и ни где не регистрировался, зарегистрирована учетная запись в telegram. Я полез в телеграмм, попытался зайти в учетную запись, но так уже стоит двухфакторная авторизация, в том числе по e-mail, почта указана gmail, какая не ясно - замылено. Нажал сбросить почту - теперь ждать 7 дней. По SMS telegram в России сбрасывает только с premium подпиской (пишут, что слишком дорого в вашу страну отправлять SMS). Поддержка телеграмм работает по принципу - если не читать сообщение, то статистика проблем не будет расти, а значит мы умнички.

Нашел в сети статью про эти конкретные смартфоны

Проверил смартфон мобильным касперским (у меня Kaspersky Security Cloud family подписка до 10 устройств) - нашел зараженные файлы в системной папке. Сделать с ними он ни чего не может (прошу прощения за фото экрана - заблочил и удалил со смартфона все лишнее, некуда скидывать скриншоты).

Я сейчас настроил переадресацию всех звонков и смс с номера на зараженном смартфоне на другой номер, через оператора. Отозвал разрешение sms у штатного приложения SMS на смартфоне. Отключил функцию автообновления в play store, отозвал у него все разрешения. Поудалял все несистемные приложения, кроме антивируса моего.

На рабочем ноутбуке, который и является основным потребителем сигнала со смартфона по WI-FI включил безопасное соединение (VPN защищенный) в касперском.

А вот теперь вопрос. Есть ли реальная опасность при работе с таки зараженным смартфоном, при таких урезанных возможностях устройства, если работать на нем только для раздачи интернета по WI-FI?

Спойлер

[Maratka]

1 час назад, Александр Самойлов сказал:

А вот теперь вопрос. Есть ли реальная опасность при работе с таки зараженным смартфоном, при таких урезанных возможностях устройства, если работать на нем только для раздачи интернета по WI-FI?

есть

[Friend]

Добрый день, @Александр Самойлов,
Наверно уже читали статьи про Triada:

1. https://securelist.ru/triada-trojan-modules-analysis/112473/
2. https://threats.kaspersky.com/ru/threat/Backdoor.AndroidOS.Triada/
3. https://www.kaspersky.ru/blog/trojan-in-fake-smartphones/39418/
4. https://www.kaspersky.ru/about/press-releases/novaya-versiya-triada-kradyot-kriptovalyutu-akkaunty-v-messendzherah-i-podmenyaet-nomera-telefonov-vo-vremya-zvonkov
5. https://www.kaspersky.ru/about/press-releases/whats-up-laboratoriya-kasperskogo-obnaruzhila-troyanec-triada-v-mode-dlya-populyarnogo-messendzhera
6. https://www.kaspersky.ru/blog/rise-of-triada/3624/
7. https://www.kaspersky.ru/blog/triada-trojan/11102/

   Цитата

   Заключение

   Новая версия троянца Triada представляет собой многоуровневый бэкдор, который дает злоумышленникам неограниченный контроль над устройством жертвы. Модульная архитектура зловреда предоставляет его авторам различные возможности для осуществления вредоносной деятельности, в том числе целевой доставки новых модулей и массового заражения конкретных приложений. Если ваш телефон оказался зараженным Triada, мы рекомендуем соблюдать следующие правила, чтобы минимизировать последствия вредоносной активности:

   1. Установите на устройство чистую прошивку.
   2. До установки новой прошивки не пользуйтесь имеющимися на устройстве мессенджерами, криптокошельками и клиентами социальных сетей.
   3. Чтобы своевременно узнать о наличии подобных угроз на устройстве, используйте надежное защитное решение.

[Александр Самойлов]

13 минут назад, Friend сказал:

Добрый день, @Александр Самойлов,
Наверно уже читали статьи про Triada:

1. https://securelist.ru/triada-trojan-modules-analysis/112473/
2. https://threats.kaspersky.com/ru/threat/Backdoor.AndroidOS.Triada/
3. https://www.kaspersky.ru/blog/trojan-in-fake-smartphones/39418/
4. https://www.kaspersky.ru/about/press-releases/novaya-versiya-triada-kradyot-kriptovalyutu-akkaunty-v-messendzherah-i-podmenyaet-nomera-telefonov-vo-vremya-zvonkov
5. https://www.kaspersky.ru/about/press-releases/whats-up-laboratoriya-kasperskogo-obnaruzhila-troyanec-triada-v-mode-dlya-populyarnogo-messendzhera
6. https://www.kaspersky.ru/blog/rise-of-triada/3624/
7. https://www.kaspersky.ru/blog/triada-trojan/11102/

Спасибо большое за подборку. То что нужно для оценки опасности.