هیچ چیز نگران کننده‌تر از تهدیدات سایبری و فعالیت‌های مشکوک غیر قابل کشف در دستگاه‌های شخصی شما نیست. اما آنچه که درحال حاضر مورد توجه قرار می‌گیرد، بدافزار از پیش نصب شده‌ای است که تلفن‌های همراه ارزانی که به طور خاص برای اقشار ضعیف تر جامعه تولید شده اند را هدف قرار داده است.

طبق سامانه امنیتی شرکت Upstream که Secure-D نامیده می‌شود، یک تولید کننده چینی به نام Transsion، تلفن‌های هوشمند اندرویدی ارزان تولید می‌کند که مملوء از بدافزارهای از پیش نصب شده است که کاربران را بدون اطلاع و اجازه آنها در سرویس هایی ثبت نام می‌کند.

پس از بررسی کامل Secure-D، تراکنش‌های زیادی را که متعلق به گوشی Techno W2 بود، مسدود کرد. این شرکت بازارهای نوظهور به ویژه اتیوپی، مصر، آفریقای جنوبی و غنا را هدف قرار داد.

علاوه بر این، محققان امنیتی در 14 مکان دیگر تراکنش‌ها و فعالیت‌های جعلی این دستگاه را رهگیری کرده اند اما این فقط یک نقطه کوچک است. این گوشی‌های حامل بدافزار در مجموع 19.2 میلیون تراکنش را در بیش از200 هزاردستگاه منحصر به فرد که شامل گوشی‌های دست دوم یا تازه خریداری شده بودند را ثبت کرده‌اند.

تجزیه و تحلیل بیشتر، محققان امنیتی را بر آن داشت تا اعلام کنند که این مشکل از بدافزار از پیش نصب شده Triada است، که به واسطه خرابکاری قبلی نیز بسیار مشهور است. این موضوع  به دلیل اینکه از آسیب پذیرترین بخش بهره برداری می‌کند، بسیار ناراحت کننده است. کسانی که به طور متوسط کاربران موبایل هستند، به دنبال امکانات مقرون به صرفه هستند.

بدافزار Triada اساساً به عنوان یک نرم افزار پنهان عمل می‌کند. همچنین این قابلیت را دارد که پس از دریافت دستورات از سرور کنترل از راه دور، کد مخرب را اجرا کند. در این مورد، با این وجود، سرورهای فرمان و کنترل توسط عوامل Tware Malware مورد استفاده قرار گرفتند.

بررسی و تحلیل ترافیک مرتبط نشان داد که این دستگاه ها به چندین دامنه مخرب دسترسی دارند که به عنوان سرورهای فرماندهی و کنترل مورد استفاده نویسندگان بدافزار Triada قرار گرفته اند. هیچ یک از میزبان‌های اینترنتی که به بدافزار متصل می‌شوند به تولید کننده مرتبط نبودند. علاوه بر این، این بدافزار به دلیل انعطاف پذیری خود و به دلیل اینکه مخفیانه درون اجزای سیستم پنهان می‌شود و با چشم غیر مسلح قابل مشاهده نیست، شناخته شده است. با این وجود، حذف بدافزارهزینه بر است چه رسد به اینکه یک کاربر معمولی یا به احتمال زیاد تحصیل نکرده آن را مدیریت کند.

بررسی دقیق تر محققان نشان داد که Triada، دومین بدافزار را نیز به نام xhelper دانلود کرده است. بدون هیچ اطلاعی، با کمک این بدافزارها، ماژول‌هایی ایجاد می‌شود که از طریق تبلیغات سرویس‌های اشتراکی کلاهبرداری می‌نمایند. در این مورد، xhelper در 53000 تلفن هوشمند Transsion’s Tecno W2 یافت شد.

هنگامی که وجود این بدافزار در یک شبکه آفریقای جنوبی آزمایش شد، xhelper دستوراتی را وقفه انداخت و اهداف جدیدی پیدا کرد. همچنین به طور خودکار به جای کاربران برای فعالیت‌های متقلبانه درخواست اشتراک می‌کرد. همه اینها بدون اجازه یا تأیید کاربر اتفاق می‌افتد. حتی در صورت شناسایی، Xhelper با ریست‌های متعدد، بازنشانی کارخانه یا حذف برنامه‌ها، مدیریت آن را بسیار دشوار می‌کند.

Secure-D در پست وبلاگ خود در این باره گفته است: دو بدافزار Triad و xhelper، اجزای مخرب را در یک فهرست غیرقابل حذف ذخیره می‌کنند و ماهیتی پایدار دارند. محققان Secure D همچنین مشخص کردند که یکی از این برنامه‌ها در واقع دانلود شده‌اند و از قبل نصب نشده‌اند.

محققان Secure-D در یک دستگاه درحالی که آفلاین بود، سه بدافزار زیر را حذف نمودند:
com.mufc.umbtts , com.comona.bac , com.mufc.firedoor

تقریبا 5 دقیقه بعد و بدون اتصال به اینترنت، هر 3 برنامه به طور خودکار دوباره نصب شدند.

سال گذشته نیز xhelper تعداد حیرت انگیز 45000 تلفن اندرویدی را آلوده کرد. اساساً، مهاجمان از قابلیت ذاتی اندروید یعنی نصب برنامه‌های شخص ثالث از طریق فایل‌های APK به جای فروشگاه Google Play استفاده کردند.

این فرآیند معمولاً به عنوان دانلود جانبی شناخته می‌شود که یک حفره بزرگ برای بهره برداری از تهدیدها ایجاد می‌کند. با این حال، پس از انجام این کار، کاربران با برنامه‌های پاپ آپ و اعلان‌هایی برای دانلود فایل‌ها و برنامه‌های دیگر نیز درگیر شدند.

پیش از این نیز گوگل فاش کرده بود که تهدیدگران، تلفن‌های اندرویدی را مشابه این مورد با استفاده از Triada به خطر انداخته بودند. این بدافزار به دلایلی از قبیل: دانلود اجزای مخرب اضافه که اطلاعات حساس برنامه‌های بانکی را می‌دزدند، چت‌ها را شنود می‌کنند و پیام‌ها را از پیام رسان‌‍‌ها یا  شبکه‌های اجتماعی رهگیری می‌کنند و همچنین جاسوسی سایبری، مشهور است.