Vorinstallierte Trojaner auf gefälschten Android-Smartphones

Im Internet werden gefälschte Smartphones unter den Namen bekannter Hersteller angeboten. Aber Vorsicht: Möglicherweise ist Triada vorinstalliert, ein äußerst boshafter Trojaner.

Triada: ein Trojaner, der auf Android-Smartphones vorinstalliert und sofort einsatzbereit ist

An der Supermarktkasse gibt es häufig Sonderangebote: „Noch einen Schokoriegel für unterwegs? Mit einem tollen Rabatt.“ Etwas Glück, und du bekommst einen leckeren Snack fast umsonst. Vielleicht will man dir aber auch einen Ladenhüter unterjubeln, der bald abläuft oder mit dem etwas anderes nicht stimmt.

Nehmen wir an, du lehnst den Schokoriegel ab, er wird dir aber trotzdem heimlich in die Einkaufstasche gesteckt. Oder noch schlimmer: in die Hosentasche, wo er schmilzt und nicht nur deine Kleidung ruiniert, sondern dir auch noch den Tag verdirbt. Etwas Ähnliches passierte Kunden, die in Online-Shops gefälschte Smartphones kauften. Die Geräte stammten scheinbar von beliebten Herstellern. Nein, sie bekamen keinen billigen Schokoriegel als Zugabe. Sie erhielten ein brandneues Smartphone, in dessen Firmware der Triada-Trojaner eingebettet war. Und dieser Trojaner ist viel schlimmer als geschmolzene Schokolade. Die Krypto-Wallets der Nutzer sowie ihre Telegram-, WhatsApp- und Social-Media-Konten waren teilweise schon gehackt, bevor sie auch nur „Pieps“ sagen konnten. Auch SMS-Nachrichten und vieles mehr konnte gestohlen werden.

Triada? Was ist Triada?

So haben wir bei Kaspersky den Trojaner genannt, den wir 2016 erstmals entdeckt und ausführlich beschrieben haben. Diese mobile Malware befindet sich nur im RAM, kann jedoch nahezu jeden Prozess infiltrieren, der auf einem Gerät läuft.

Triada läutete in der Entwicklung mobiler Android-Bedrohungen eine neue Ära ein. Vor Triada waren Trojaner relativ harmlos – sie zeigten hauptsächlich Werbung an und luden andere Trojaner herunter. Diese neue Gefahr markierte einen radikalen Wandel.

Im Lauf der Zeit haben Android-Entwickler die Schwachstellen behoben, die von frühen Triada-Versionen ausgenutzt wurden. In neueren Android-Versionen dürfen auch Nutzer mit Root-Rechten die Systempartitionen nicht mehr bearbeiten. Wurden die Cyberkriminellen dadurch gestoppt? Was glaubst du? …

Wir spulen schnell etwas vor: Im März 2025 entdeckten wir eine modifizierte Triada-Version, die diese neuen Beschränkungen ausnutzt. Die Angreifer infizieren die Firmware schon vor dem Verkauf der Smartphones. Da die Malware in den Systempartitionen vorinstalliert ist, ist das Entfernen nahezu unmöglich.

Was kann die neue Version?

Unsere Android-Sicherheitslösung erkennt die neue Triada-Version als Backdoor.AndroidOS.Triada.z. Diese neue Version ist in die Firmware gefälschter Android-Smartphones eingebettet, die auf Online-Marktplätzen erhältlich sind. Sie kann alle auf dem Gerät ausgeführten Apps angreifen. Damit besitzt der Trojaner praktisch unbegrenzte Möglichkeiten. Er kann SMS-Nachrichten und Anrufe kontrollieren, Kryptoguthaben stehlen, andere Apps herunterladen und ausführen, Links in Browsern ersetzen, in deinem Namen heimlich Nachrichten in Chat-Apps senden und Social-Media-Konten kapern.

Triada infiltriert jede App, die auf einem infizierten Gerät gestartet wird. Darüber hinaus verfügt der Trojaner über spezielle Module, die auf populäre Apps abzielen. Sobald der Nutzer eine legitime App (z. B. Telegram oder TikTok) herunterlädt, nistet sich der Trojaner dort ein und beginnt, Chaos zu stiften.

Telegram. Triada lädt zwei Module herunter, um Telegram zu kompromittieren. Das erste initiiert einmal täglich eine bösartige Aktivität und stellt eine Verbindung zu einem Command-and-Control-Server (C2) her. Es sendet die Telefonnummer des Opfers zusammen mit den kompletten Authentifizierungsdaten (einschließlich des Zugriffstokens) an die Kriminellen. Das zweite Modul filtert alle Nachrichten, interagiert mit einem Bot (den es zum Zeitpunkt unserer Studie noch nicht gab) und löscht Benachrichtigungen über neue Telegram-Anmeldungen.

Instagram. Der Trojaner führt einmal täglich eine bösartige Aufgabe aus. Dabei sucht er nach aktiven Sitzungs-Cookies und leitet gefundene Daten an die Angreifer weiter. Mithilfe dieser Dateien können die Kriminellen die vollständige Kontrolle über das Konto übernehmen.

Browser. Triada bedroht eine ganze Reihe von Browsern, z. B. Chrome, Opera und Mozilla. Eine vollständige Liste findest du im Securelist-Artikel. Das Modul stellt eine TCP-Verbindung zum C2-Server her und leitet in den Browsern legitime Links auf Werbeseiten um – scheinbar nach dem Zufallsprinzip. Allerdings lädt der Trojaner Weiterleitungslinks von seinem C2-Server herunter, darum können die Angreifer den Nutzer jederzeit auf Phishing-Websites umleiten.

WhatsApp. Auch hier gibt es zwei Module. Das erste sammelt und sendet alle fünf Minuten Daten über die aktive Sitzung an den C2-Server. Dadurch haben die Angreifer vollen Zugriff auf das Konto des Opfers. Das zweite Modul fängt die Client-Funktionen zum Senden und Empfangen von Nachrichten ab. Die Malware kann also beliebige Sofortnachrichten senden und anschließend löschen, um ihre Spuren zu verwischen.

LINE. Das Triada-Modul sammelt alle 30 Sekunden interne App-Daten, einschließlich Authentifizierungsdaten (Zugriffstoken), und leitet sie an den C2-Server weiter. Auch in diesem Fall übernehmen die Angreifer die vollständige Kontrolle über das Konto des Nutzers.

Skype. Obwohl Skype bald eingestellt wird, verfügt Triada immer noch über ein bösartiges Modul dafür. Triada verwendet mehrere Methoden, um sich das Authentifizierungstoken zu schnappen und an den C2-Server zu übermitteln.

TikTok. Dieses Modul kann aus Cookie-Dateien im internen Verzeichnis zahlreiche Daten über das Konto des Opfers sammeln. Außerdem extrahiert es Daten, die für die Kommunikation mit der TikTok-API erforderlich sind.

Facebook. Triada besitzt zwei Module für diese App. Eines davon stiehlt Authentifizierungs-Cookies, das andere sendet Informationen über das infizierte Gerät an den C2-Server.

Natürlich gibt es auch Module für SMS-Nachrichten und Anrufe. Mit dem ersten SMS-Modul kann die Malware alle eingehenden Nachrichten filtern und Codes daraus extrahieren, auf bestimmte Nachrichten antworten (wahrscheinlich, um die Opfer für kostenpflichtige Dienste anzumelden) und auf Befehl des C2-Servers beliebige SMS-Nachrichten senden. Das zweite Zusatzmodul deaktiviert den integrierten Android-Schutz vor SMS-Trojanern. Dieser Schutz holt die Erlaubnis des Nutzers ein, bevor Nachrichten an Kurzwahlnummern (Premium-SMS) gesendet werden. Solche Nummern könnten beispielsweise zur Bestätigung bezahlter Abonnements verwendet werden.

Das Anrufmodul wird in die Telefon-App eingebettet, befindet sich aber höchstwahrscheinlich noch in der Entwicklungsphase. Wir haben festgestellt, dass die Manipulation von Telefonnummern hier schon teilweise implementiert ist. Und wir befürchten, dass diese Funktion schon bald bühnenreif sein wird.

Ein weiteres Modul, ein Reverse-Proxy, verwandelt das Smartphone des Opfers in einen umgekehrten Proxyserver. Damit können die Angreifer im Namen des Opfers auf beliebige IP-Adressen zugreifen.

Wie nicht anders zu erwarten, hat Triada auch Kryptobesitzer im Visier und hält für diese als besondere Überraschung einen Clipper bereit. Der Trojaner sucht in der Zwischenablage nach Adressen von Krypto-Wallets und ersetzt diese durch eine Adresse des Angreifers. Ein Krypto-Stealer analysiert die Aktivitäten des Opfers: Sobald versucht wird, Kryptoguthaben abzuheben, ersetzt er die Adressen von Krypto-Wallets durch betrügerische Adressen. Er kann sogar die Schaltflächenfunktionen in Apps manipulieren und Bilder durch generierte QR-Codes ersetzen, die mit den Wallet-Adressen der Angreifer verknüpft sind. Mithilfe dieser Tools haben die Kriminellen seit dem 13. Juni 2024 Kryptoguthaben im Wert von über 264.000 US-Dollar gestohlen.

Eine vollständige Liste der Triada-Funktionen und eine ausführliche technische Analyse findest du in unserem Securelist-Bericht.

Wie die Malware auf Smartphones gelangt

In allen uns bekannten Infektionsfällen unterschied sich der Firmware-Name auf dem Gerät nur um einen einzigen Buchstaben vom offiziellen Namen. Wenn die offizielle Firmware beispielsweise TGPMIXM hieß, war es auf den infizierten Telefonen TGPMIXN. Das deckt sich auch mit Beiträgen in einschlägigen Diskussionsforen, in denen sich Nutzer über nachgemachte Geräte beschwerten, die sie in Online-Shops gekauft hatten.

Wahrscheinlich wurde ein Element der Lieferkette kompromittiert, und die Shops hatten keine Ahnung, dass sie mit Triada infizierte Geräte verkauften. Inzwischen lässt sich kaum noch feststellen, wann genau die Malware in die Smartphones eingeschleust wurde.

So kannst du dich vor Triada schützen

Die neue Version des Trojaners war auf gefälschten Geräten vorinstalliert. Was ist der beste Weg, um eine Infektion mit Triada zu vermeiden? Du solltest Smartphones nur bei autorisierten Händlern kaufen. Wenn du den Verdacht hast, dass dein Telefon mit Triada (oder einem anderen Trojaner) infiziert ist, haben wir hier einige Tipps für dich.

  • Zuallererst musst du dir Klarheit verschaffen und mögliche Probleme beheben. Vorher darfst du die oben genannten Apps, die potenziell gefährdet sind, nicht mehr verwenden und keine Finanztransaktionen durchführen – auch nicht mit Kryptowährungen.
  • Installiere Kaspersky for Android auf deinem Smartphone, um zu überprüfen, ob es tatsächlich infiziert ist.
  • Wenn Triada auf dem Gerät gefunden wird, installiere die offizielle Firmware auf dem Smartphone. Dies kannst du entweder selbst machen oder dich an das lokale Servicecenter wenden. Dabei sind Überraschungen in den technischen Eigenschaften deines Smartphones möglich: Oft wurde nicht nur der Trojaner vorinstalliert, sondern in der gefälschten Firmware wurden auch übertriebene Angaben zu RAM und Speicherplatz gemacht.
  • Wenn festgestellt wurde, dass dein Smartphone mit Triada infiziert ist, überprüfe alle Messaging- und Social-Media-Apps, die kompromittiert sein könnten. Beende bei Chat-Apps unbedingt alle Sitzungen, insbesondere auf Geräten, die du nicht kennst. Überprüfe auch die Datenschutzeinstellungen. Dabei hilft dir unser Leitfaden Vorsicht Piraten! So schützt du dein WhatsApp- und Telegram-Konto. Wenn du vermutest, dass deine Instant-Messaging-Konten gekapert wurden, hole dir Rat in unseren Artikeln WhatsApp-Konto gehackt – was nun? oder Telegram-Konto gehackt – was nun?. Beende alle Social-Media-Sitzungen auf allen deinen Geräten und ändere deine Passwörter. Dabei kann dir KPM
  • In unserem Portal Privacy Checker erfährst du, wie du den Datenschutz in verschiedenen Apps und Betriebssystemen konfigurieren kannst.

Leider ist Triada längst nicht der einzige mobile Trojaner. Unter den folgenden Links findest du unsere Artikel über andere Android-Malware:

Tipps

NFC-Betrug via Apple Pay und Google Wallet

Cyberkriminelle haben neue Wege gefunden, um Geld von Zahlungskarten zu stehlen. Die passenden Anmeldedaten erbeuten sie im Internet oder per Telefon. Manchmal genügt es aber schon, seine Karte ans Telefon zu halten – schon ist man sein Geld los.

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder