Celulares falsificados de marcas populares vendidos a preços reduzidos foram encontrados com uma versão modificada do malware Triada, segundo a Kaspersky. Entre 13 e 27 de março de 2025, mais de 2.600 usuários, principalmente na Rússia, foram afetados. Triada, identificado em 2016, é um trojan de acesso remoto (RAT) capaz de roubar dados sensíveis e transformar dispositivos em botnets. Inicialmente, era distribuído por aplicativos na Play Store e mods de WhatsApp como FMWhatsApp e YoWhatsApp. Agora, ele vem pré-instalado no sistema de celulares falsificados.

Esse método de infecção já havia sido observado em 2017, quando o Triada evoluiu para um backdoor no framework do Android, permitindo controle remoto dos dispositivos. O Google apontou que o malware pode ser inserido na fabricação quando fabricantes terceirizados adicionam recursos extras ao sistema. A versão mais recente do Triada pode roubar credenciais de Telegram e TikTok, enviar e apagar mensagens no WhatsApp e Telegram, substituir carteiras de criptomoedas copiadas, monitorar navegação, modificar links, alterar números durante chamadas, interceptar SMS e assinar serviços pagos. Também consegue baixar outros malwares e bloquear conexões para evitar detecção.

A Kaspersky afirma que o Triada ainda é uma das ameaças mais sofisticadas para Android, explorando vulnerabilidades na cadeia de suprimentos. Estima-se que seus operadores tenham movimentado cerca de US$ 270 mil em criptomoedas entre junho de 2024 e março de 2025. A descoberta ocorre logo após a identificação de novos trojans bancários para Android, como Crocodilus e TsarBot, que atacam mais de 750 aplicativos financeiros. Além disso, o malware Salvador Stealer tem se disfarçado de app bancário indiano para roubar dados sensíveis.