在数字时代,智能手机已成为我们生活中不可或缺的一部分,但它们同时也是网络安全威胁的温床。最近,一种名为Triada的木马程序通过其狡猾的多阶段加载器,悄无声息地渗透进安卓设备,赋予攻击者几乎无限的控制权。这种木马不仅难以被发现,而且几乎不可能被常规用户移除,因为它深植于设备固件之中。今天,将向大家分享一篇文章[1],深入剖析Triada木马的最新迭代版本,揭示其如何利用安卓系统的漏洞,以及它对用户隐私和财产安全的潜在威胁。我们将探讨这一新型网络威胁的运作机制,以及用户如何保护自己免受其侵害。
2025年3月,作者在研究中发现Triada木马为突破安卓系统的权限限制采取了新的策略。攻击者直接将复杂的多阶段加载程序植入设备固件,这使得木马能够感染Zygote进程,进而控制设备上运行的每一个应用程序。
主要发现:
-
在多款设备上发现了Triada木马的新变种,其固件在设备上市前即已遭感染。这些设备仿冒知名手机品牌,研究期间仍能在多家电商平台购买。 -
木马会侵入受感染设备上启动的每个应用程序。其模块化架构赋予攻击者近乎无限的系统控制权,可针对特定应用程序定制功能。 -
当前版本的Triada木马中,经分析的有效载荷会根据宿主应用展现不同恶意行为,具体包括:转账时篡改加密货币钱包地址、替换浏览器链接、任意发送短信并拦截回复、窃取即时通讯和社交应用的登录凭证。
完整感染链如下:
图注:Triada木马感染链
卡巴斯基安全产品已将新版Triada木马检测为Backdoor.AndroidOS.Triada.z
。
在初步调查中,作者聚焦于多款设备固件中的原生库文件,其路径为:
-
/system/framework/arm/binder.so -
/system/framework/arm64/binder.so
该文件在标准安卓版本中并不存在。作者发现,这个可疑的库文件被同一目录下受感染的AOT预编译[3]安卓系统框架(boot-framework.oat
)加载到Zygote进程中,而Zygote是所有安卓应用程序的父进程。
图注:boot-framework.oat中的恶意依赖
binder.so
库为android.util.Log
类注册了一个原生方法println_native
。该类的功能是让设备上安装的应用程序向Logcat写入日志消息。此方法的实现调用了可疑函数_config_log_println
。
图注:对可疑函数的调用
_config_log_println
函数随后调用另外两个函数,将恶意库的rodata
区段中存储的三个模块部署到设备上启动的每个进程中。其中一个函数始终运行,另一个函数仅在设备安卓系统版本为9或更早时触发。
图注:两个恶意函数的执行流程
接下来让我们来详细分析这些模块的作用。
rodata
区段中的该模块会被写入应用程序的内部数据目录,命名为systemlibarm64_%N%.jar
,其中N为随机数。com.android.core.info.config.JvmCore
类,binder.so
会注册原生方法,用于拦截对恶意软件运行进程中任意方法的调用。该模块需经过双重异或解密流程,解密密钥从恶意库的rodata
区段中提取。解密后的模块以/data/data/%PACKAGE%/mms-core.jar
形式保存到磁盘,随后通过DexClassLoader
加载。加载完成后,包含有效载荷文件将会被删除。
图注:后门模块的加载
此mms-core.jar
是作者早期报告[4]中提到的后门程序的新版本。与旧版本通过篡改系统文件注入Zygote进程不同,当前版本通过受感染的系统框架直接获得稳定的Zygote访问权限。与旧版类似,该后门会下载并执行其他有效载荷。
binder.so
库启动时,会立即读取/proc/%PID%/cmdline
文件(%PID%
为系统进程ID),借此判断当前运行应用程序的包名。
图注:包名检查机制
根据包名,binder.so
会从rodata
区段加载两种负载之一:若目标应用与加密货币相关,则加载加密货币窃取程序的加载器;否则加载通用投放器。这两种有效载荷均未加密。
Triada加密货币窃取程序
在早期分析的Triada版本中,加密货币应用会被直接植入窃取程序。但在最新样本中,恶意模块变更为针对特定包名的加载器,目标包括:
com.binance.devcom.wrx.wazirxcom.coinex.trade.playcom.okinc.okex.gppro.huobicom.kubi.kucoin
该恶意加载器的入口点为com.hwsen.abc.SDK
类中的onCreate
方法。最新版本中,此模块会从GitHub仓库请求配置。样本通过伪随机数生成器选择数字(0、1或2),每个数字对应特定的仓库地址。
图注:加载配置
配置中的所有字段值均使用AES-128(ECB模式)加密,并用Base64编码。以下为解密后的配置示例:
{ addr: { durl: https://app-file.b-cdn[.]net/poctest/pc2215202501061400.zip, durl2: https://app-file.b-cdn[.]net/poctest/pc2215202501061400.zip, durl3: https://app-file.b-cdn[.]net/poctest/pc2215202501061400.zip, ver: 17, vname: pc2215202501061400.zip, online: true, rom: true, update: true, pkg: com.android.system.watchdog.x.Main, method: onCreate, param: t }}
online字段为true
,加载器将从durl
字段指定的URL下载有效载荷。若下载失败,则依次尝试durl2
和durl3
作为备用链接。下载的有效载荷通过硬编码的XOR密钥解密,并按vname
参数命名后保存到应用内部数据目录。pkg
和method
字段分别表示负载通过DexClassLoader
加载后调用的类名及
方法。
下载的有效载荷通过多种手段窃取加密货币。例如,其会按预设间隔监控当前活动窗口,借此拦截加密货币提现操作,将界面中的收款地址替换为攻击者控制的地址。为实现此功能,恶意软件对当前窗口内的图形子元素执行深度优先搜索,识别资金流向的区块链类型,随后将钱包地址替换为硬编码的攻击地址,并将所有按钮的点击处理器替换为代理(确保再次执行地址替换)。值得注意的是,窃取程序还会将图片元素替换为包含攻击地址的二维码。
图注:文本和图像替换
此外,木马会监控剪贴板内容,若发现加密货币钱包地址,立即替换为攻击者地址。
图注:剪贴板劫持
投放器模块
若binder.so
运行在非加密货币相关应用中,则下载另一类有效载荷——投放器。该模块调用com.system.framework.api.vp2130.services
类中的onCreate
方法,根据版本不同,最多可从自身内容中提取三个Base64编码的附加模块。
投放器从系统APK安装器应用内的首个模块加载com.android.packageinstaller.apiv21.ApiV21
类。此类注册了一个接收器,允许其他模块在设备上安装任意APK或卸载应用。
图注:恶意接收器
自Android 13起,非可信来源的应用无法获取敏感权限(如无障碍服务)。为绕过此限制,接收器通过安装会话(installation session)机制安装旁加
载应用。
从第二个模块加载的com.system.framework.audio.Audio
类用于阻断网络连接。根据系统架构,其解码并加载原生助手库。该库利用xhook
库拦截对getaddrinfo
和android_getaddrinfofornet
函数的调用——这两个函数负责与安卓的dnsproxyd
服务通信(该服务以客户端-服务器模型处理DNS请求)。若攻击者发送了阻断特定域名的指令,恶意软件通过钩子将域名替换为127.0.0.1
,使原域名无法访问。
图注:拦截dnsproxyd通信功能
因此,除非反欺诈服务使用自定义DNS实现,否则其请求将被阻断。
从第三个模块加载的com.system.framework.api.init.services
类用于下载任意负载。为实现此功能,恶意软件会定期向命令控制服务器发送大量设备信息(MAC地址、型号、CPU、制造商、IMEI、IMSI等)及宿主应用名称与版本。数据在发送前使用AES-128(CBC模式)加密并Base64编码。C2服务器返回的JSON文件中包含有效载荷信息,同样以AES-128(CBC模式)加密。受感染设备从同一JSON中获取RSA加密的密钥与初始化向量(IV)。
图注:负载解码、加载与执行流程
为便于描述,下文将此模块称为Triada后门。该模块是研究中的重点,因其赋予恶意软件广泛的能力。深入分析攻击者目标后,我们发现了一个意外变化:早期样本主要展示广告并诱导用户订阅付费服务,而当前攻击者已转向更复杂的恶意行为。
为明确攻击者目标的变化,作者尝试为各类流行应用下载有效载荷。观察到,当应用名称位于binder.so
恶意库的内置列表中时,其启动时会向投放器传递特定标志。该列表包含系统应用及官方商店的热门应用。
图注:binder.so中的部分应用列表
这份列表是调查的起点。作者向恶意C2服务器发送列表中所有应用的请求,部分响应返回了有效载荷的下载链接。例如,这是我们在向Telegram请求有效载荷后从该木马收到的响应:
{ a: 0, b: 40E315FB00M8EP2G49008INIK7000002, c: 1373225559, d: [{ a: 72, b: http://ompe2.7u6h8[.]xyz/tgzip/44a08dc22b45b9418ed427fd24c192c6.zip, c: com.tgenter.tmain.Engine, d: start, e: 32, f: 44a08dc22b45b9418ed427fd24c192c6, g: https://mp2y3.sm20j[.]xyz/tgzip/44a08dc22b45b9418ed427fd24c192c6.zip }, { a: 127, b: http://ompe2.7u6h8[.]xyz/tgzip/tgnetuser/online/37fd87f46e95f431b1977d8c5741d2d5.zip, c: com.androidx.tlttl.tg.CkUtils, d: init, e: 7, f: 37fd87f46e95f431b1977d8c5741d2d5, g: https://mp2y3.sm20j[.]xyz/tgzip/tgnetuser/online/37fd87f46e95f431b1977d8c5741d2d5.zip } ], e: 245, g: [com.instagram.android], h: org.telegram.messenger.web,org.telegram.messenger,com.whatsapp.w4b,com.fmwhatsapp,com.gbwhatsapp,com.yowhatsapp,com.facebook.lite,com.facebook.orca,com.facebook.mlite,com.skype.raider,com.zhiliaoapp.musically,com.obwhatsapp,com.ob3whatsapp,com.ob2whatsapp,com.jtwhatsapp,com.linkedin.android,com.zhiliaoapp.musically.go,com.opera.browser.afin,com.heytap.browser,com.sec.android.app.sbrowser,org.mozilla.firefox,com.microsoft.emmx,com.microsoft.emmx.canary,com.opera.browser}
C2返回的有效载荷信息以对象数组形式呈现,每个对象包含两个下载URL(主URL和备份URL)、待下载文件的MD5哈希值、模块入口点详细信息及其ID。下载完成后,使用不同的密钥对模块进行双重异或解密。
图注:Triada解密负载流程
除此之外,C2的响应还包含其他软件包名称。利用这些名称,我们能够获取各种其他有效载荷。
需特别指出的是,根据安卓安全模型,普通用户权限通常无法访问特定应用数据。然而如前所述,由于恶意软件由Zygote进程加载,每个有效载荷模块运行于目标应用进程内,因此可绕过系统限制。这意味着模块能获取任意应用数据,攻击者在后续感染阶段积极利用此特性。此外,每个新增的恶意负载均可继承宿主应用的所有权限。
在模块分析过程中,作者还注意到Triada开发者展现出高超的技术能力:每个有效载荷均针对目标应用特性定制。下文将解析木马注入部分热门安卓应用的模块细节。
最初,该恶意任务尝试获取受害者账户详细信息。为实现此目的,模块从名为userconfig
的应用设置XML文件中读取通过SharedPreferences
保存的键值对——提取与用户密钥关联的字符串。该字符串包含经过Base64编码的序列化Telegram用户数据,客户端代码会对其进行反序列化以便与API进行通信。恶意软件正是利用了这一点:Triada会尝试多种基于反射的方法来读取用户数据。
若以下用户信息尚未发送,恶意软件会将其上传至C2服务器:
-
包含受害者账户详情的序列化字符串 -
受害者手机号码 -
应用的 data
目录中tgnet.dat
文件的内容该文件存储Telegram认证数据(包括用户令牌),攻击者可借此完全控制受害者账户。 -
数据库 cache4.db
的params
表中id=1
的字符串,该有效载荷模块还包含未启用的广告展示代码。
第二个模块模块(fce117a9d7c8c73e5f56bda7437bdb28)通过Base64解码并执行另一有效载荷(8f0e5f86046faed1d06bca7d3e48c0b8)。此有效载荷为新Telegram消息注册观察者,检查消息内容。若消息文本匹配木马从C2服务器接收的正则表达式,则从客户端删除该消息。该模块还会尝试删除Telegram的新会话通知。
此外,恶意软件试图与某个在研究期间已失效的机器人发起对话。
图注:发起与未知机器人的通信
该模块(3f887477091e67c6aaca15bce622f485)首先从Google Play服务获取设备广告ID,并将其作为受害者标识。随后,每24小时运行一次恶意任务:依次扫描所有通过SharedPreferences
存储的XML文件,直至找到首个以UserCookiePrefsFile_
开头的文件。此文件包含活跃Instagram会话的Cookie,拦截这些会话可使攻击者劫持受害者账户。此外,任务还会收集data
目录下analytics
子目录中所有以batch
结尾的文件。
图注:恶意软件读取内部文件
这些文件与感染设备信息经Base64编码后发送至C2服务器。
该模块(98ece45e75f93c5089411972f9655b97)注入以下包名的浏览器:
com.android.chrome org.mozilla.firefox com.microsoft.emmx com.microsoft.emmx.canary com.heytap.browser com.opera.browser com.sec.android.app.sbrowser com.chrome.beta
其首先通过TCP套接字与C2服务器建立连接,随后使用RSA算法加密AES-128(CBC模式)的初始化向量(IV)与密钥的拼接值。木马用AES加密感染设备信息,将密钥、IV及加密数据合并为单一缓冲区后发送至TCP套接字。
图注:C2通信代码片段
C2服务器返回的缓冲区采用与请求相同的加密参数,其中包含定期替换浏览器打开链接的任务。示例如下:
{ a: 0, b: 1, c: 65, d: { a: 17, b: https://stas.a691[.]com/, c: [0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23], d: 2880 }}
链接替换机制如下:模块先检测宿主浏览器的版本及名称,为浏览器打开链接的方法注册钩子。
图注:启动浏览器特定功能
此前提到,木马在初始阶段下载的辅助模块可拦截任意方法。浏览器模块利用此功能干扰不同浏览器的页面打开流程。
图注:辅助模块的调用
此外,恶意软件通过反射替换应用的Instrumentation
类实例,用于启动应用程序活动的execStartActivity
方法在代理类中被重写。
图注:Instrumentation代理类中的恶意调用
在安卓系统中,应用活动是通过广播携带特定动作的Intent来启动的。如果应用的某个活动带有Intent过滤器,并且该过滤器声明了能够处理该操作,系统将启动该Activity。当应用在浏览器中打开链接时,会创建并发送一个携带android.intent.action.VIEW
动作的Intent实例,其中包含要打开的URI。Triada将会篡改接收到的Intent实例中的URI。
图注:替换Intent中的链接
在作者分析的样本中,C2服务器发送了指向广告资源的链接。然而,我们认为恶意软件创建者也可能利用此功能进行网络钓鱼等活动。
对于WhatsApp,木马的C2服务器会下发两个模块。第一个模块(d5bc1298e436424086cb52508fb104b1)每五分钟在WhatsApp客户端上下文环境中运行恶意任务。该任务读取客户端运行所需的各种密钥及活动会话数据。
图注:木马窃取WhatsApp登录凭证
这些数据与受害者设备信息一同发送至C2服务器,使攻击者能完全控制受害者WhatsApp账户。
另一个模块(dc731e55a552caed84d04627e96906d5)初始阶段拦截WhatsApp客户端收发消息的函数。攻击者采用了一项有趣的技术应对WhatsApp代码中的类名混淆。模块代码包含待拦截的类名及方法名,这些名称特定于不同的WhatsApp版本,这要求攻击者手动分析各版本实现机制。需注意的是,若模块代码未包含特定客户端版本的类名,恶意软件可向C2服务器请求拦截配置。
若拦截成功,模块继续运行:向C2发送感染设备信息,接收返回的TCP套接字IP地址。随后通过此套接字传输指令,使恶意软件可执行以下操作:
-
发送任意WhatsApp消息 -
删除设备上的已发送消息以掩盖痕迹 -
关闭连接
该模块(1d582e2517905b853ec9ebfe77759d15)运行于即时通讯应用LINE内。其首先收集感染设备信息并发送至C2服务器,随后每30秒采集应用内部数据——具体为naver_line
数据库settings
表中的PROFILE_AUTH_KEY
与PROFILE_MID
值。恶意模块还会获取User-Agent
字符串及附加信息,以模拟来自LINE客户端的HTTP请求。此外,木马从naver_line
数据库解密用户电话号码及地区信息,并通过反射获取应用访问令牌,借此劫持受害者账户。
图注:获取访问令牌
模块将收集的数据发送至C2服务器。
图注:数据收集与发送流程
该模块(b87706f7fcb21f3a4dfdd2865b2fa733)每两分钟运行恶意任务,尝试向C2发送感染设备信息。一旦C2接受请求,该任务终止,木马转为每小时读取Skype内部文件。初始阶段,模块尝试从React Native框架密钥链(keychain)中提取允许访问Skype账户的令牌。
图注:Triada从密钥链提取令牌
若此方法失败,恶意软件则尝试从WebView Cookies中定位令牌。
图注:从cookies中提取token
随后,token被发送至木马C2服务器,导致受害者账户遭入侵。
当前分析的Triada版本中未发现针对Microsoft Teams或Skype for Business的有效载荷。但作者认为,若微软逐步停用Skype,攻击者可能会为这些应用新增恶意模块。
该模块(993eb2f8bf8b5c01b30e3044c3bc10a3)每日向攻击者服务器发送一次感染设备信息。此外,恶意软件收集受害者账户的多种数据:例如从应用内部目录读取WebView可能使用的缓存TikTok Cookies。攻击者关注其中的msToken
(用于与TikTok API交互的关键字段),同时提取客户端中的用户ID(secUID
)、API请求的User-Agent
等信息。我们推测,攻击者需借此绕过TikTok API限制并模拟真实设备发起请求。每五分钟,恶意模块尝试将收集数据发送至服务器。
图注:窃取TikTok账户数据
其中一模块(b187551675a234c3584db4aab2cc83a9)每分钟运行恶意任务,检查宿主应用包名是否匹配以下列表:
com.facebook.lite com.facebook.mlite com.facebook.orca
若匹配,则窃取Facebook认证Cookie。
图注:窃取Facebook凭证
另一模块(554f0de0bddf30589482315fe336ea72)向C2发送感染设备信息。服务器响应包含需在WebView中打开的链接以及在页面执行的JavaScript代码。恶意软件可将页面元素上传至C2服务器,攻击者可能会利用这些元素窃取受害者的账户数据。
这些恶意组件被注入短信类应用。其中一个组件(195e0f334beb34c471352179d422c42f)首先会注册自己的代理接收器来接收短信和彩信,以及自己的消息观察器。随后,恶意软件会从C2服务器检索规则,并将其存储在单独的数据库中,每条收到的消息都会根据这些规则进行内容过滤。
图注:检查消息内容
这些规则的灵活性使木马能通过正则表达式提取特定短信中的验证码。我们推测攻击者主要利用此功能来让受害者注册付费订阅。此外,该模块可根据C2指令发送任意短信。
有趣的是,模块包含一些未启用的对分析很有价值的代码片段——它们也可以用作消息过滤规则。每条规则含定义类型的字符串值:特定数据的MD5哈希值。代码中的matchWhatsapp
和matchRegister
方法使用相同规则类型。对matchWhatsapp
的分析表明,该恶意组件之前可以掩盖其他模块的踪迹,并删除包含用于登录受害者WhatsApp帐户的验证码的短信。使用相同的规则类型表明,该恶意模块还使用matchRegister
来隐藏其活动,可能是为了秘密注册帐户。由于该恶意软件现在支持从C2服务器接收规则,因此此方法可能已过时。
图注:拦截WhatsApp验证短信的规则
第二个模块(2ac5414f627f8df2e902fc34a73faf44)很可能是第一个模块的辅助组件。Android在发送短信时会对收件人进行检查。如果短信是发送到短代码(付费短信),系统会弹窗提示用户确认发送意图。此措施旨在防止设备所有者因遭遇短信木马而遭受经济损失。Android框架的SmsUsageMonitor
类通过getPremiumSmsPermission
方法验证应用是否拥有发送权限(策略值存储于premium-sms-policy
键的SharedPreferences
中)。策略值为整数,含义如下:
1:发送前需用户确认
据我们所知,该模块(3dc21967e6fab9518275960933c90d04)集成至Google Play Services应用。启动后立即向C2发送设备信息,服务器返回IP地址及端口。木马会利用这些IP地址和端口号,通过修改版EasySocket
库监听指令,这些指令为整型值,可以采用以下三个值:
该模块(a4f16015204db28f5654bb64775d75ad)被注入设备的电话应用中。其注册了一个恶意接收器,该接收器在接收到Intent后,可通过WebView执行任意JavaScript代码。
图注:通过恶意接收器执行任意代码
恶意软件为JavaScript代码提供调用特定Java函数的接口。其中一个函数会获取受害者电话号码并通过Intent发送。
图注:携带电话号码的Intent
指令编号通过Intent的type
字段传递。但该模块缺少对此编号的处理程序,我们推测它是在另一个有效载荷中实现的,但在调查过程中我们无法获取该有效载荷。
作者认为此模块仍在开发阶段。例如,与浏览器模块类似,其替换Instrumentation
类以篡改通过android.intent.action.VIEW
打开的号码,但当前版本的模块缺少号码替换的代码。
图注:Instrumentation代理类
作者确信该功能存在于其他版本或将在未来更新中实现。
该模块(04e485833e53aceb259198d1fcba7eaf)集成至Google Play应用。启动后向C2请求以逗号分隔的攻击者加密货币钱包地址列表。若获取失败,则使用硬编码地址。随后,该模块每两秒检查剪贴板,若发现加密货币钱包地址则替换为攻击者地址。此外,该模块还会注册一个用于剪贴板更改的事件处理程序,实时检测并篡改内容。
图注:剪贴板劫持流程
在作者之前的报告[4]中,描述了初始Triada后门[5]下载的恶意模块,决定检查有效载荷列表是否已更改。遗憾的是,在研究期间,后门的C2服务器并未发送下载其他模块的链接。然而,作者注意到模块入口点使用了一致的特殊命名格式——将在稍后详细讨论这一点。这使得作者在遥测数据中发现了另一个Triada恶意软件样本BrsCookie_1004
(952cc6accc50b75a08bb429fb838bff7),专用于窃取浏览器中的Instagram Cookies。
图注:窃取Cookies过程
作者对该木马的分析发现了一些有趣的细节。例如,它与早期版本的Triada(308e35fb48d98d9e466e4dfd1ba6ee73)有相似之处:均采用与受感染框架部署的mms-core.jar
后门相同的模块加载逻辑。
图注:在旧版Triada中加载模块
图注:在mms-core.jar中加载模块
此外,模块代码中频繁出现以PPP
开头的日志条目。
图注:在旧版Triada中创建日志条目
图注:在新版本的Triada中加载binder.so中的模块
来自binder
.so
恶意库设置的系统属性与旧版Triada相似。这些相似之处以及其他相似之处使我们相信,我们分析的样本是Triada的新版本。
Triada模块使用的C2服务器g.sxim[.]me
曾关联Vo1d后门模块,暗示二者可能存在联系。
在所有已知感染案例中,设备固件的构建指纹(build fingerprint)末位字符与官方发布版本不同。追踪类似指纹发现,多个论坛用户投诉从电商平台购买的仿冒设备感染Triada。推测供应链环节遭入侵,线上卖家可能在不知情情况下分销受感染设备。
图注:用户投诉假冒设备案例
翻译:“在[某平台]购买假冒设备的经历。
请保留此讨论,或许能帮助其他与我一样陷入困境的人自行修复手机。
原版本:8GB/256GB/14.0.6.0(TGPMIXN)。
当前版本:4GB/128GB/14.0.6.0(TGPMIXM)”
根据卡巴斯基安全网络(KSN)遥测数据,我们的安全解决方案在全球范围内检测到超过4500台感染设备。受攻击用户数量最多的国家/地区包括俄罗斯、英国、荷兰、德国和巴西。然而,由于本文所述的非常规传播方式,实际感染设备数量可能远高于此。下图展示了2025年3月13日至4月15日期间受Triada攻击用户数量排名前十的国家/地区。
图注:2025年3月13日-4月15日受Triada攻击用户数量TOP 10国家/地区
此外,作者尝试估算Triada开发者窃取的加密货币金额。通过向木马C2服务器发起查询并接收返回的替换钱包地址,结合开源情报分析发现:自2024年6月13日起,攻击者控制的多个钱包已累计接收价值超过26.4万美元的各类加密货币。下图展示了部分攻击者控制的TRON钱包余额变化趋势。
图注:攻击者TRON钱包收益走势图
新版Triada木马是一个多阶段后门程序,赋予攻击者对受害者设备的无限控制权。其模块化架构为开发者提供了广泛的恶意能力,包括定向投放新模块及大规模感染特定应用。若您的设备已感染Triada,建议遵循以下规则以降低风险:
f468a29f836d2bba7a2b1a638c5bebf0 72cbbc58776ddc44abaa557325440bfb fb937b1b15fd56c9d8e5bb6b90e0e24a 2ac4d8e1077dce6f4d2ba9875b987ca7 7b8905af721158731d24d0d06e6cb27e 9dd92503bd21d12ff0f2b9740fb6e529
89c3475be8dba92f4ee7de0d981603c1 01dff60fbf8cdf98980150eb15617e41 18fef4b6e229fc01c8b9921bb0353bb0 21be50a028a505b1d23955abfd2bdb3e 43adb868af3812b8f0c47e38fb93746a 511443977de2d07c3ee0cee3edae8dc8 716f0896b22c2fdcb0e3ee56b7c5212f 83dbc4b95f9ae8a83811163b301fe8c7 8892c6decebba3e26c57b20af7ad4cca a7127978fac175c9a14cd8d894192f78 a9a106b9df360ec9d28f5dfaf4b1f0b5 c30c309e175905ffcbd17adb55009240 c4efe3733710d251cb041a916a46bc44 e9029811df1dd8acacfe69450b033804 e961cb0c7d317ace2ff6159efe30276a
lnwxfq[.]qz94[.]com8.218.194[.]192g.sxim[.]me68u91[.]66foh90o[.]comjmll4[.]66foh90o[.]comw0g25[.]66foh90o[.]comtqq6g[.]66foh90o[.]comzqsvl[.]uhabq9[.]comhm1es[.]uhabq9[.]com0r23b[.]uhabq9[.]comvg1ne[.]uhabq9[.]comis5jg[.]3zweuj[.]comqrchq[.]vrhoeas[.]comxjl5a[.]unkdj[.]xyzlvqtcqd[.]pngkcal[.]comxc06a[.]0pk05[.]com120.79.89[.]98[xcbm4[.]0pk05[.]comlptkw[.]s4xx6[.]comad1x7[.]mea5ms[.]comv58pq[.]mpvflv[.]combincdi[.]birxpk[.]com773i8h[.]k6zix6[.]comya27fw[.]k6zix6[.]com
mp2y3[.]sm20j[.]xyzompe2[.]7u6h8[.]xyzapp-file.b-cdn[.]net
[hxxps://raw.githubusercontent[.]com/adrdotocet/ott/main/api.json [hxxps://raw.githubusercontent[.]com/adrdotocet2/ott/main/api.json [hxxps://raw.githubusercontent[.]com/adrdotocet3/ott/main/api.json
os.config.ppgl.ext.hws.cdos.config.ppgl.btcore.devicekeyos.config.ppgl.versionos.config.opp.build.modelos.config.opp.build.statusos.config.ppgl.statusos.config.ppgl.status.romos.config.ppgl.build.vresionos.config.hk.statusos.config.ppgl.cdos.config.ppgl.diros.config.ppgl.dexokos.config.ppgl.btcore.sericodeos.config.verify.statusos.config.alice.build.channelos.config.alice.build.timeos.config.alice.service.statusos.android.version.alice.sure
原文始发于微信公众号(山石网科安全技术研究院):Triada木马新迭代,安卓设备的隐形威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论