Новые методы Triada: троян маскируется под легальные приложения

Расследование Adex показало, что одним из ключевых векторов распространения трояна Triada стали модифицированные версии популярных мессенджер‑клиентов FMWhatsApp и YoWhatsApp. По данным компании, вредоносные сборки этих приложений продвигались через рекламные посты, а ссылки на APK‑файлы вели на ресурсы, замаскированные под легитимные хостинги и платформы.

Злоумышленники использовали GitHub, Discord CDN и взломанные или поддельные аккаунты рекламодателей для размещения загрузочных ссылок. При переходе пользователь сталкивался с системой многоступенчатых редиректов, которая проверяла устройство и окружение, а затем подсовывала ему заражённый файл. Такой подход снижал вероятность быстрой блокировки со стороны антифрод‑систем и делал кампанию устойчивой к простым правилам фильтрации.

По информации Adex, за несколько лет операторов Triada удалось глубоко интегрировать свои инструменты в инфраструктуру мобильной рекламы. Компания зафиксировала и остановила более 500 аккаунтов и рекламных цепочек, связанных с этой операцией. При этом часть из них формально выглядела как обычные кампании по продвижению приложений и не вызывала подозрений на первом этапе проверки.

Аналитики подчёркивают, что обнаруженная схема демонстрирует быструю эволюцию тактик киберпреступников. Они делают вывод, что рекламные сети и платформы распространения приложений должны усиливать проверку партнёров, внедрять многоуровневые механизмы верификации и регулярно пересматривать критерии доверия к сторонним хостингам и CDN‑сервисам. Такая стратегия, по оценке специалистов, остаётся одним из немногих способов снизить риск повторения кампаний, подобных операции Triada, сообщает anti-malware.ru.

Обратите внимание: Овнов ждет резкий карьерный подъем, а Ракам смело можно начинать ремонт