Как хакеры используют поддельные телефоны, чтобы украсть криптовалюту

Хакеры были пойманы на продаже поддельных смартфонов, на которых предустановлено скрытое вредоносное ПО, предназначенное для кражи криптовалютных и конфиденциальных данных пользователей. Троянский вирус Triada — это метод криптохакинга, при котором вредоносное ПО внедряется в аппаратную часть телефона, что позволяет злоумышленникам получать доступ к криптокошелькам, читать сообщения, подделывать телефонные звонки и перехватывать сообщения 2FA. Поддельные телефоны попадают в цепочку поставок через аукционные площадки и неофициальных розничных торговцев по невероятно низким ценам. Чтобы избежать подобного взлома мобильных криптовалют, всегда следует покупать телефоны у надежных продавцов или напрямую у брендов. Представьте себе, что вы распаковываете свой новенький смартфон. Вы настраиваете его, пробуете новую камеру и устанавливаете любимые приложения. Вы даже загружаете свой надежный криптокошелек прямо из магазина приложений и вносите свою криптовалюту на хранение. Это волнительно, пока однажды вы не открываете свой криптокошелек и не видите ужасного зрелища... Он пуст. Как это могло произойти? Вы все сделали правильно, дважды проверили загрузки и даже использовали двухфакторную аутентификацию (2FA). Но вы не знали, что вас взломали, когда вы включили свой новый телефон. Теперь хакеры прячут опасные вредоносные программы в телефонах, прежде чем они попадут к пользователям, эта тактика известна как мошенничество с криптографией поддельного телефона. В этой статье объясняется, как все это происходит.

Мошенничество с фейковыми телефонами и криптовалютой подразумевает продажу поддельных смартфонов, которые выглядят и ощущаются как совершенно новые, настоящие телефоны. Снаружи они выглядят так же, как и любой другой телефон Android, но внутри они загружены скрытым вредоносным ПО. Это коварное вредоносное ПО предназначено для кражи криптовалюты пользователя.

Хакеры, нацеленные на пользователей криптовалют, стремятся заполучить эти телефоны в руки пользователей криптовалют, трейдеров и инвесторов. По сути, любой, кто может использовать криптокошелек или приложение на своем телефоне, является потенциальной целью. Аппаратное и программное обеспечение телефона работает так же, как и обычное устройство, поэтому вы можете не заметить, что что-то не так, пока не станет слишком поздно.

Масштабы этого мошенничества в последние годы растут, особенно после того, как исследователи обнаружили мошенническую кампанию в 2025 году. К тому времени было зарегистрировано более 2600 жертв, все из которых считали, что приобрели легальные телефоны Android.

Устройства Android продаются по сниженным ценам, но на них установлено вредоносное ПО

Специалисты по кибербезопасности из Kaspersky обнаружили, что тысячи поддельных телефонов Android продаются в Интернете с предустановленным вредоносным ПО. Вредоносное ПО, известное как Triada Trojan, тайно запускается на этих телефонах и выполняет следующие вредоносные действия на зараженных устройствах:

Крадет учетные данные из приложений обмена сообщениями и социальных сетей при отправке или удалении сообщений в WhatsApp и Telegram, чтобы выдавать себя за пользователей.

Перехватывает криптовалюту путем подмены адресов кошельков и отслеживает просмотры для перенаправления ссылок.

Подделывает телефонные номера во время звонков, чтобы перенаправить разговоры, а также перехватывает или манипулирует SMS-сообщениями.

Позволяет взимать плату за премиум-подписки на SMS и удаленно устанавливать дополнительные вредоносные приложения.

Блокирует сетевые соединения, чтобы избежать обнаружения и нарушить защиту.

На заметку: По данным Chainalysis, криптомошенничество может достичь своего самого большого оборота в истории в 2025 году, достигнув $9,9 млрд в 2024 году. 

Triada был впервые обнаружен в 2016 году, когда он использовался для извлечения данных из финансовых приложений и платформ обмена сообщениями формата WhatsApp и Facebook. Первоначально он заражал устройство через фишинговую кампанию или вредоносную загрузку.

Однако теперь мошенники предварительно устанавливают вредоносное ПО на смартфоны, прежде чем продавать их широкой публике. Настоящая угроза таится глубоко в операционной системе телефона. В отличие от типичных вирусов, которые вы можете случайно загрузить, это вредоносное ПО предустанавливается еще до того, как вы прикоснетесь к устройству.

Когда на устройстве присутствует троян Triada, он дает преступникам практически неограниченный доступ к телефону. Проще говоря, злоумышленникам предоставляется доступ к устройству, что позволяет им подменять адреса криптокошельков и сливать средства. Преступники могут проникнуть прямо в криптокошелек, украсть ключи или учетные данные для входа и даже незаметно переместить средства

 «Авторы новой версии Triada активно монетизируют свои усилия: судя по анализу транзакций, им удалось перевести на свои криптокошельки около 270 000 долларов в различных криптовалютах », — говорит эксперт по безопасности «Лаборатории Касперского» Дмитрий Калинин.

В дополнение к этому, троянское вредоносное ПО дает хакерам возможность похищать персональные данные, а  именно информацию об учетной записи пользователя, и читать сообщения. Это включает в себя сообщения 2FA.

С таким уровнем доступа он раскрывает полный набор финансовых счетов пользователя, с возможностью красть пароли и перехватывать сообщения 2FA. Еще более тревожно то, что Triada имеет возможность подделывать телефонные номера для звонков и перехватывать частные разговоры.

Поскольку вредоносное ПО встроено в основное программное обеспечение телефона, сброс настроек к заводским настройкам и антивирусные приложения обычно не могут от него избавиться. Его практически невозможно обнаружить или удалить. Ваши цифровые активы находятся под угрозой, пока вы используете устройство.

На заметку:  Вредоносное ПО Triada предназначено для работы в оперативной памяти устройства, что позволяет ему избегать обнаружения традиционными антивирусными инструментами и выживать после сброса настроек до заводских. Это делает его невероятно сложным для обнаружения и удаления с зараженного телефона.

Как преступникам удается установить это вредоносное ПО на устройствах до того, как оно дойдет до конечного пользователя? Что ж, есть определенные взломанные этапы цепочки поставок. Розничные торговцы могут даже не знать, что они продают зараженные телефоны.

Как правило, поддельные телефоны можно найти в продаже в менее авторитетных интернет-магазинах, на аукционах и у неофициальных продавцов. Мошенники даже разрабатывают устройства, которые копируют известные бренды. Это затрудняет обнаружение подделки. Для потребителей слишком заманчива низкая цена этих телефонов Android.

Хотя мошенничество было наиболее распространено в России, оно распространяется по всему миру, жертвами становятся жители Азии, Европы и Северной Америки. Возможность мошенников легко продавать телефоны онлайн означает, что жертвами могут стать покупатели на аукционных сайтах и в менее авторитетных магазинах.

Если вы покупаете новый смартфон, важно принять меры предосторожности

На заметку: Взломы фейковых телефонов с криптовалютой — это тип мошенничества, известный как «атаки с нулевым кликом». Они позволяют хакерам получить доступ к вашей криптовалюте без каких-либо действий со стороны пользователей. Код выполняется без какого-либо ввода данных пользователем, поэтому они опасны и их трудно обнаружить.

По мере того как криптовалюта становится все более популярной, хакеры, скорее всего, будут все больше мотивироваться на обман ничего не подозревающих пользователей. Несколько простых привычек могут стать решающими между сохранением ваших активов и данных или потерей всего за считанные секунды.

Вот несколько простых советов по криптобезопасности, которые помогут защитить криптовалюту от хакеров:

• Покупайте смартфоны только напрямую у официальных брендов или авторитетных продавцов. Избегайте покупки дешевых или бывших в употреблении устройств на аукционах или в неизвестных магазинах.
• Всегда устанавливайте официальные обновления операционной системы немедленно. Не загружайте неизвестные приложения — особенно криптокошельки, которые следует загружать только из официальных магазинов приложений и сайтов брендов. Даже в этом случае дважды проверьте издателя перед установкой.
• Будьте бдительны к странному поведению устройства. Например, к внезапной разрядке батареи, странным всплывающим окнам и незнакомым приложениям.
• Не нажимайте на нежелательные сообщения и ссылки. Если вы получили ссылку от незнакомого пользователя  не открывайте ее, поскольку она может быть частью фишинговой аферы.
• Включите 2FA для всех крипто- и финансовых аккаунтов; это добавит уровень безопасности, чтобы остановить или замедлить злоумышленников.
• Держите долгосрочные активы на офлайновом аппаратном кошельке. Не храните большие суммы криптовалюты на портативном устройстве, подключенном к интернету.

Наконец, будьте бдительны в отношении подозрительной активности кошелька и избегайте поспешных переводов средств. Разверните надежные антивирусные инструменты и обновите свое устройство, чтобы предотвратить угрозы вредоносного ПО, среди которых Triada.