فيروس Triada الخبيث يعود في هواتف أندرويد مقلدة ويصيب الآلاف حول العالم

كشفت شركة Kaspersky للأمن السيبراني عن أن نسخًا مقلدة من هواتف أندرويد الشهيرة، تُباع بأسعار منخفضة، تأتي محملة مسبقًا ببرمجية خبيثة تُعرف باسم Triada.

وقالت الشركة:

“أكثر من 2,600 مستخدم في بلدان مختلفة واجهوا النسخة الجديدة من Triada، وكان أغلبهم في روسيا.”
وسُجلت الإصابات خلال الفترة من 13 إلى 27 مارس 2025.

ما هو فيروس Triada؟

Triada هو اسم عائلة برمجيات خبيثة متعددة الوحدات (Modular) لأجهزة أندرويد، تم اكتشافه لأول مرة في مارس 2016.
يصنف كـ حصان طروادة للوصول عن بُعد (RAT)، ويُستخدم لـ:

• سرقة البيانات الحساسة

• التحكم الكامل في الجهاز

• ضم الأجهزة إلى شبكات بوت نت لأداء أنشطة إجرامية أخرى

تطور خطير: Triada مدمج مسبقًا في النظام

خلافًا للإصدارات السابقة التي كانت تُوزّع عبر تطبيقات على Google Play أو تعديلات لتطبيقات مثل FMWhatsApp،
فإن هذه النسخة من Triada مدمجة مسبقًا في النظام الأساسي للأجهزة أثناء عملية التصنيع.

🔍 وأوضحت Google في تقرير سابق عام 2019 أن:

“Triada يصيب صور نظام الجهاز من خلال طرف ثالث أثناء مرحلة الإنتاج. وأحيانًا، تلجأ الشركات المصنعة (OEMs) إلى شركاء خارجيين لإضافة ميزات غير موجودة في نظام Android المفتوح المصدر، كميزة فتح القفل بالوجه.”

وفي حالات سابقة، تم توجيه أصابع الاتهام إلى مورد يُدعى Yehuo أو Blazefire بأنه المسؤول عن إدخال Triada في الصور المُعدلة.

قدرات Triada الخبيثة على الأجهزة المصابة

أوضحت Kaspersky أن البرمجية الخبيثة:

• مزروعة في إطار النظام، وتُنسخ تلقائيًا إلى كل عملية نشطة بالجهاز.

• تمنح المهاجمين تحكمًا كاملاً عن بُعد.

أبرز المهام التي ينفذها فيروس Triada:

• سرقة حسابات المستخدم من تطبيقات مثل Telegram وTikTok.

• إرسال رسائل خفية من واتساب وتيليجرام ثم حذفها.

• استخدام تقنيات Clipboard Hijacking لتبديل عناوين محافظ العملات المشفرة.

• مراقبة سلوك التصفح واستبدال الروابط.

• تبديل أرقام الهواتف أثناء المكالمات.

• اعتراض الرسائل النصية وتفعيل الاشتراكات في خدمات مدفوعة.

• تنزيل برمجيات خبيثة أخرى.

• تعطيل الاتصالات الشبكية للتأثير على أنظمة مكافحة الاحتيال.

عمليات احتيال سابقة مشابهة

📌 ليست هذه المرة الأولى التي يُكتشف فيها برمجيات مثبتة مسبقًا.
ففي مايو 2018، كشفت Avast عن مئات أجهزة أندرويد، بما فيها ماركات مثل ZTE وArchos، كانت مزودة ببرمجية إعلانية خبيثة تُدعى Cosiloon.

أرباح مجرمي Triada: 270,000 دولار بالعملات المشفرة

قال ديميتري كالينين، الباحث في Kaspersky:

“على الأرجح، تعرضت سلسلة التوريد للاختراق، ما يعني أن المتاجر قد تبيع أجهزة مصابة دون علمها.”
“وتُظهر تحليلات المعاملات أن مطوري النسخة الجديدة من Triada نجحوا في تحويل ما يقارب 270 ألف دولار إلى محافظهم المشفرة، بين يونيو 2024 ومارس 2025.”

برمجيات خبيثة أخرى تهدد أجهزة أندرويد

تأتي هذه الأخبار في وقت تم فيه رصد أنواع أخرى من البرمجيات الضارة، مثل:

• Crocodilus وTsarBot:

  • تستهدف أكثر من 750 تطبيقًا مصرفيًا وماليًا.

  • تُوزع عبر تطبيقات مزيفة تنتحل خدمات Google.

  • تستغل خدمات الوصول Accessibility لسرقة البيانات.

• Salvador Stealer:

  • برنامج خبيث جديد يظهر على شكل تطبيق بنكي هندي.

  • يقوم بسرقة معلومات حساسة للمستخدمين.

موقف Google الرسمي: الأجهزة غير معتمدة من Play Protect

🎙️ بعد نشر التقرير، صرّح متحدث باسم Google:

“الأجهزة المصابة بـ Triada ليست معتمدة من Play Protect، وبالتالي لم تخضع لاختبارات الأمان والمطابقة.”
“أما المستخدمون على أجهزة Android المعتمدة، فهم محميون ضد Crocodilus وTsarBot عبر Google Play Protect.”