Seguro que te suena la escena: estás en la caja del supermercado y, tras escanear tu compra, te ofrecen esa chocolatina con un descuento tentador. A veces es una buena oportunidad, pero otras muchas intentan colocarte algo que no se vende bien. Imagina que rechazas la oferta, pero te la meten igualmente en la bolsa y, para colmo, se derrite manchando tus cosas. Pues algo parecido, aunque con consecuencias mucho más graves, les ha ocurrido a quienes adquirieron móviles de imitación de marcas conocidas a través de tiendas online. En lugar de una chocolatina, se llevaron a casa un terminal con el troyano Triada integrado en su sistema, un malware mucho más problemático que un simple dulce derretido, capaz de hacer desaparecer saldos de criptomonedas, cuentas de Telegram, WhatsApp y redes sociales antes de que puedan siquiera pensar que han hecho un buen negocio.
Triada: Un viejo conocido que vuelve a la Ccrga
Triada no es un nombre nuevo para los expertos en ciberseguridad. Identificado por Kaspersky en 2016, este troyano móvil marcó un antes y un después en las amenazas para Android. Su particularidad reside en que se infiltra en prácticamente todos los procesos del dispositivo y opera principalmente en la memoria RAM, lo que dificulta su detección y eliminación. Las primeras versiones eran dañinas, mostrando publicidad y descargando otro software malicioso, pero Triada demostró que el panorama de la seguridad móvil había cambiado para siempre.
Con el tiempo, los desarrolladores de Android fueron parcheando las vulnerabilidades que Triada explotaba, y las versiones más recientes del sistema operativo restringen la modificación de particiones del sistema incluso para usuarios con permisos de administrador (root). Sin embargo, esto no ha detenido a los ciberdelincuentes.
La nueva cara de Triada: Infección desde fábrica
Recientemente, se ha detectado una versión actualizada de Triada, catalogada como Backdoor.AndroidOS.Triada.z, que se salta estas nuevas restricciones de una manera alarmante: infectando el firmware de los teléfonos inteligentes antes incluso de que lleguen al consumidor. Al venir preinstalado en las particiones del sistema, este malware es extremadamente difícil de eliminar.
Un arsenal de herramientas maliciosas: ¿Qué puede hacer la nueva versión de triada?
Esta variante de Triada es capaz de atacar cualquier aplicación que se ejecute en el dispositivo infectado, otorgándole un abanico de posibilidades casi ilimitado. Puede controlar mensajes de texto y llamadas, robar criptomonedas, descargar y ejecutar otras aplicaciones, reemplazar enlaces en navegadores, enviar mensajes de forma encubierta en aplicaciones de chat en tu nombre y secuestrar cuentas de redes sociales.
El troyano se inyecta en cada aplicación que el usuario abre e incluye módulos específicos para atacar servicios populares:
- Telegram: Roba el número de teléfono y datos de autenticación completos, filtra todos los mensajes, interactúa con bots maliciosos y elimina notificaciones de nuevos inicios de sesión.
- Instagram: Busca y envía cookies de sesiones activas a los atacantes, permitiéndoles tomar control de la cuenta.
- Navegadores (Chrome, Opera, Mozilla, etc.): Redirige enlaces legítimos a sitios de publicidad, con el potencial de dirigir a los usuarios a páginas de phishing en cualquier momento.
- WhatsApp: Recopila y envía datos de la sesión activa cada cinco minutos, dando acceso total a la cuenta. Intercepta mensajes para enviar y borrar contenido a voluntad.
- LINE: Recopila datos internos de la aplicación, incluyendo tokens de acceso, cada 30 segundos.
- Skype: A pesar de su menor uso actual, Triada aún busca obtener tokens de autenticación de esta plataforma.
- TikTok: Recopila una gran cantidad de datos de la cuenta a partir de cookies y extrae información para comunicarse con la API de TikTok.
- Facebook: Roba cookies de autenticación y envía información sobre el dispositivo infectado a los servidores de los ciberdelincuentes.
Funcionalidades adicionales y robo de criptomonedas
Más allá de las aplicaciones, Triada cuenta con módulos para:
- SMS y llamadas: Filtra mensajes entrantes, extrae códigos (útiles para saltarse la autenticación de dos factores o suscribir a servicios de pago), responde a mensajes y envía SMS arbitrarios. Un módulo auxiliar desactiva protecciones de Android contra troyanos de SMS premium. El módulo de llamadas, aparentemente aún en desarrollo, podría permitir la suplantación de números de teléfono.
- Proxy inverso: Convierte el móvil de la víctima en un servidor proxy, permitiendo a los atacantes realizar acciones en internet usando la IP de la víctima.
- Robo de criptomonedas (Clipper): Es especialmente peligroso para los usuarios de criptoactivos. Triada monitoriza el portapapeles y sustituye las direcciones de las carteras de criptomonedas por las de los atacantes. También interfiere en las aplicaciones para reemplazar códigos QR legítimos por otros fraudulentos. Se estima que, gracias a estas tácticas, los ciberdelincuentes han logrado sustraer más de 264.000 dólares en diversas criptomonedas desde junio de 2024.
¿Cómo se cuela Triada en los móviles?
Las investigaciones apuntan a una vulneración en la cadena de suministro. En los casos detectados, el nombre del firmware del dispositivo infectado difería ligeramente del oficial (por ejemplo, TGPMIXM en el original frente a TGPMIXN en el infectado). Los usuarios afectados habían adquirido estos terminales falsificados en tiendas online, que probablemente desconocían que estaban distribuyendo dispositivos comprometidos. Determinar el punto exacto de la infección en la cadena de producción o distribución es prácticamente imposible.
Protégete de Triada: La prevención es clave
Dado que esta nueva versión de Triada se ha encontrado preinstalada en dispositivos falsificados, la principal recomendación es adquirir teléfonos inteligentes únicamente a través de distribuidores oficiales y tiendas de confianza. Desconfía de ofertas demasiado buenas para ser verdad, especialmente en plataformas de venta online no oficiales. Si sospechas que tu teléfono podría estar infectado, considera restaurarlo a los valores de fábrica (aunque esto podría no ser suficiente si el malware está en una partición del sistema) y consulta con un experto o utiliza soluciones de seguridad móvil reconocidas para analizar tu dispositivo.