Hubo un momento en el que algunos de los muchos smartphones con Android que se fabrican a diario salían de las fabricas con malware corrompiendo ya su interior, sin que esto se debiera a terceros procesos o ataques durante el uso diario del terminal. Así lo ha reconocido Google en una nueva publicación donde hace referencia al troyano bautizado como Triada.

En 2016, el laboratorio de seguridad Kaspersky relataba el descubrimiento de un nuevo tipo de troyano para smartphones cuya ejecución era de las más complejas que se habían visto hasta el momento. Se trataba de Triada, un virus modular con el que los atacantes podían acceder a todos los permisos del teléfono e infiltrarse de manera efectiva en todas las aplicaciones del terminal para poder mostrar anuncios, publicidad o pervertir el funcionamiento de estas.

"Triada modifica el proceso Zygote del sistema operativo Android, utilizado como plantilla para cualquier aplicación. Esto significa que, una vez que el troyano entra en Zygote, este empieza a formar parte de literalmente todas las aplicaciones iniciadas en el dispositivo", aseguraban, y continuaban revelando que "sustituye las funciones del sistema y oculta sus módulos de la lista de procesos en ejecución y de las aplicaciones instaladas. Por lo tanto, el sistema no detecta procesos anómalos y no envía ninguna señal de alerta"

Malware preinstalado

En un inicio este troyano no era muy diferente a los anteriores en tanto que su acción dependía de un ataque, pero a partir de 2017 la cosa cambió y desde Google detectaron que este hacía acto de presencia incrustado directamente en los terminales que salían de las factorías de producción. "Durante el verano de 2017 notamos un cambio en las nuevas muestras de Triada. En lugar de rootear el dispositivo para obtener privilegios de desarrollo, Triada evolucionó para convertirse en una puerta trasera preinstalada de Android Framework". Con ella, todas las apps, incluida Google Play, quedaban comprometidas.

En la misma publicación citan a una otra de ese año realizada por Dr. Web en la cual se describía el proceso que seguía dicho troyano y en el que se ponía en relevancia que los modelos de smartphones potencialmente afectados eran los Leagoo M5 Plus, Leagoo M8, Nomu S10, y Nomu S20, terminales que no se encuentran extendidos en Occidente.

Google se refiere al proceso de infección de los dispositivos como algo posible gracias a la necesidad de muchos fabricantes de recurrir a terceros para proveer a sus productos de determinadas características. Serían estas empresas externas de las que provendría el malware. "Triada infecta las imágenes del sistema del dispositivo a través de un tercero durante el proceso de producción. En ocasiones, los OEM desean incluir funciones que no forman parte del proyecto de código abierto de Android, como el desbloqueo facial. El OEM podría asociarse con un tercero que pueda desarrollar la función deseada y enviar la imagen completa del sistema a ese proveedor para su desarrollo".