供应链遭入侵的预装威胁

卡巴斯基实验室研究人员发现，新型Triada木马变种已预装在数千台安卓设备中，设备完成初始设置便会实施数据窃取。2025年3月13日至27日期间，仅在俄罗斯就检测到超过2600例感染案例。

该恶意软件存在于仿冒热门机型的山寨安卓设备中。研究人员推测，幕后黑手可能已入侵供应链环节，致使零售商在不知情的情况下销售被Triada感染的智能手机。

系统级植入的全面控制

卡巴斯基报告指出："新版恶意软件通过受感染设备的固件传播，驻留在系统框架层。这意味着Triada能渗透到智能手机的每个进程中。"该恶意软件功能强大，可使攻击者几乎完全控制设备。

植入系统框架的木马使攻击者获得设备完全控制权，能够窃取账户、发送消息、盗取加密货币、监控浏览记录、拦截短信等。卡巴斯基实验室网络安全专家德米特里·卡列宁表示："Triada新版本的开发者正积极变现。根据交易分析，他们已向加密钱包转移约27万美元的各种加密货币。但实际金额可能更大，攻击者还瞄准了无法追踪的门罗币。"

历史沿袭与技术特性

2018年3月，Dr.Web反病毒公司的研究人员曾发现42款低价安卓智能手机出厂时预装了Android.Triada.231银行木马。Triada木马最早于2016年由卡巴斯基实验室发现，当时被视为最先进的移动端威胁。

该木马专门设计用于实施金融欺诈，通常劫持金融类短信交易。其最显著特点是模块化架构，理论上具备广泛攻击能力。Triada利用Zygote父进程在所有软件环境中执行代码，意味着威胁能渗透每个应用程序。彻底清除的唯一方法是恢复出厂设置并重装操作系统。

Dr.Web研究人员还在多个小众品牌（包括Advan、Cherry Mobile、Doogee和Leagoo）的新出厂设备中发现预装Triada木马。2017年7月，Leagoo M5 Plus、Leagoo M8、Nomu S10和Nomu S20等多款机型均被检出携带该木马。调查显示，感染源可追溯至上海某软件开发人员。

防护建议

专家建议从授权经销商处购买智能手机，并立即安装卡巴斯基安卓版等安全解决方案。

参考来源：

New Triada Trojan comes preinstalled on Android devices