Telefoni Android contraffatti preinstallati con malware che ruba criptovalute.

L'azienda di cybersecurity Kaspersky ha scoperto una truffa diffusa che coinvolge smartphone Android contraffatti, precaricati con malware progettati per rubare criptovalute e dati sensibili degli utenti.

I dispositivi, venduti a prezzi scontati online, sono dotati di una versione del Trojan Triada, che consente agli aggressori di avere un ampio controllo sui telefoni infetti.

Triada, scoperto per la prima volta nel 2016, opera in modo furtivo infiltrandosi nel framework di sistema e infettando ogni processo sul dispositivo.

Questa ultima variante permette agli hacker di dirottare le transazioni in criptovalute sostituendo gli indirizzi dei wallet, intercettare e cancellare messaggi SMS e rubare informazioni dagli account delle app di messaggistica come WhatsApp e Telegram.

Dmitry Kalinin, esperto di cybersecurity di Kaspersky, ha rivelato che gli aggressori hanno già trasferito circa 270.000 dollari in criptovalute nei loro wallet, anche se l'importo effettivo potrebbe essere più alto a causa del coinvolgimento di criptovalute non rintracciabili come Monero (CRYPTO:XMR).

Il malware è incorporato nel firmware dello smartphone prima di raggiungere i consumatori, suggerendo una compromissione nella catena di fornitura.

Kalinin ha osservato che anche i venditori online potrebbero distribuire inconsapevolmente questi dispositivi compromessi. “Probabilmente, in una delle fasi, la catena di fornitura è compromessa,” ha detto.

Kaspersky ha identificato 2.600 infezioni confermate in diversi paesi, con la Russia che rappresenta la maggior parte dei casi all'inizio del 2025.

Altre regioni colpite includono Brasile, Kazakistan, Germania e Indonesia.

L'azienda consiglia agli utenti di acquistare dispositivi solo da distributori autorizzati e di installare soluzioni di sicurezza immediatamente dopo l'acquisto per mitigare i rischi.

La persistenza di Triada evidenzia la sua complessità come una delle minacce più pericolose per i dispositivi Android.

La sua capacità di operare senza essere rilevato rende difficile la rimozione senza dover riflashare la ROM del dispositivo.

Gli esperti consigliano di utilizzare immagini di sistema pulite o ROM di terze parti fidate come LineageOS per i dispositivi compromessi.

Questa scoperta si aggiunge alle crescenti preoccupazioni riguardanti malware che prendono di mira gli utenti di criptovalute.

Altre minacce recenti includono il malware SparkCat incorporato in app su Google Play e l'App Store di Apple, oltre a nuovi malware Android che sfruttano i servizi di accessibilità per rubare le chiavi dei wallet di criptovalute.