Imaginez acheter un smartphone neuf… déjà infecté par un logiciel espion. C’est exactement ce que permet Triada, un malware furtif installé dans le système de certains appareils Android avant même leur vente. Données volées, cryptomonnaies détournées, appels espionnés : la menace agit sans que vous ne le sachiez.
Triada : des smartphones Android livrés avec un virus déjà installé !
Par Aghiles Slamani
Publié le 03/04/2025 à 16:02
Une nouvelle version du cheval de Troie Triada a été découverte préinstallée sur des smartphones Android contrefaits, selon les chercheurs de Kaspersky, leader technologique dans le développement de logiciels de cybersécurité. Présent dès la fabrication, ce malware s’intègre au firmware du téléphone et agit dès la première mise en route. Capable de voler données personnelles et cryptomonnaies, il cible notamment les appareils vendus à bas prix sur des sites non officiels. L’infection, issue d’une probable compromission de la chaîne d’approvisionnement, reste difficile à détecter et à éradiquer.
Une infection dès l’achat : un malware logé au cœur du système
Le Trojan Triada, dans sa nouvelle version, est implanté dans le cadre système d'Android, ce qui lui confère des privilèges étendus. Cette intégration permet au logiciel malveillant d’agir sans intervention de l’utilisateur, dès la première mise sous tension de l’appareil. Kaspersky précise que chaque processus du téléphone est affecté, rendant l'infection invisible et persistante, sauf en cas de réinstallation complète de l'OS.
La liste des capacités de Triada est large : vol de comptes de messagerie et réseaux sociaux, interception de SMS, détournement d'appels téléphoniques, modification d’adresses de portefeuilles de cryptomonnaies, ou encore activation de services payants par SMS. Le cheval de Troie peut aussi télécharger et exécuter des applications à distance, rendant chaque smartphone infecté potentiellement contrôlable à distance.
Par ailleurs, il est à souligner que Kaspersky a recensé plus de 2 600 cas en Russie entre le 13 et le 27 mars 2025, selon les relevés de ses outils de sécurité mobile. Les téléphones concernés sont des copies frauduleuses de modèles bien connus, souvent vendus à prix cassé sur des boutiques en ligne non officielles. Ces appareils peuvent échapper aux contrôles qualité habituels, rendant l’utilisateur final totalement inconscient du risque.
New Triada Trojan comes preinstalled on Android devices
— InfoSec (@infosec.skyfleet.blue) 3 avril 2025 à 08:01
Une opération monétisée : vol de cryptomonnaies et exploitation à grande échelle
Au-delà de l’espionnage et de la collecte de données, cette campagne de Triada poursuit un objectif financier direct. Les analyses menées par l'entreprise de cybersécurité révèlent que les attaquants ont réussi à détourner environ 270 000 dollars en cryptomonnaies grâce à cette opération. Ce chiffre ne représente qu'une estimation partielle, puisque certains transferts ont été réalisés en Monero, une cryptomonnaie difficilement traçable.
L’un des mécanismes de monétisation repose sur la substitution des adresses de portefeuilles lors de transactions : l'utilisateur pense envoyer des fonds à un destinataire légitime, mais les fonds sont redirigés vers un portefeuille contrôlé par les attaquants. En parallèle, l'accès aux comptes de messagerie et de réseaux sociaux ouvre la voie à d’autres formes de fraudes, comme l’usurpation d'identité ou la propagation de malwares supplémentaires.
Les experts soupçonnent une compromission au niveau de la chaîne d’assemblage, probablement chez un sous-traitant. Même les revendeurs peuvent ignorer que les appareils sont infectés. Pour se prémunir, les chercheurs recommandent d’acheter uniquement des smartphones auprès de distributeurs certifiés et, en cas de doute, de réinstaller le système à l’aide d’une ROM d’origine fiable (comme celles de Google, LineageOS ou GrapheneOS).