We use cookies to ensure that we give you the best experience on our website.

【对比分析】Triada和Shibai恶意软件:隐藏在智能手机中的Crypto Clipper的演变

2025 年 4 月 28 日的文章我们收到了对 Doctor Web 报告的预装在低成本 Android 设备上的加密窃取恶意软件的热烈响应,我们在文章中对此进行了详细解释。

芝柏案是供应链攻击严重性的最新例子,恶意软件是在设备制造阶段引入的。然而,这并不是第一次使用类似技术的威胁​​。在这里,我们将通过 Triada(一种过去造成重大损害且仍然活跃的典型恶意软件)并将其与 Shibai 进行比较,来仔细研究供应链攻击的威胁和演变。

1.发现和早期阶段(2016)

Triada 于 2016 年 3 月首次被卡巴斯基实验室识别。最初,它主要充当“路由木马”,利用旧版 Android 版本(4.4.4 及更早版本)中的漏洞来获取提升的权限。

2. Triada:不断发展的 Android 木马主谋

2.1发现和早期阶段(2016年)

Triada 于 2016 年 3 月首次被卡巴斯基实验室识别。最初,它主要充当“路由木马”,利用旧版 Android 版本(4.4.4 及更早版本)中的漏洞来获取提升的权限。

感染媒介包括从不受信任的来源下载应用程序、伪装成 Google Play 商店中的合法应用程序以及对现有流行应用程序的更新,有时甚至预装在设备上。。有时它也通过 Ztorg、Gorpo 和 Leech 等较小的木马进行分发。。早期的主要目标是安装垃圾邮件应用程序和广告软件,形成广告僵尸网络,通过广告收入和短信欺诈来创收。

2.2技术的洗练性と进化

Triada 以其先进技术而闻名。

  • 模块化:Triada被设计为模块化木马,允许下载和更新组件,使其更加灵活和隐蔽。模块经常被加载到内存中,然后从存储中删除,这使得检测变得更加困难。
  • 合子注射:使用了一种特别复杂的技术来修改核心 Android 进程 Zygote。 Zygote 是所有应用程序进程的父进程,通过在这里注入代码,Triada 将在设备上启动。全部它成为应用程序的一部分,并获得了对系统的深度访问权限,使其极难被发现。这使得改变应用程序的行为成为可能,例如拦截短信。
  • 隐身:它具有先进的隐形功能,主要驻留在 RAM 中,替换系统功能并将其自己的模块隐藏在正在运行的进程列表中。还使用了动态代码加载等技术。一些变体利用 DroidPlugin 等沙箱技术来加载恶意插件而不安装它们。
  • 持久性:获得 root 权限和修改系统进程/映像使得删除变得极其困难,有时甚至不可能在不重新刷新固件或复杂的手动干预的情况下删除。恢复出厂设置也常常无效。

2.3供应链违规和迁移到 BADBOX

由于新的 Android 版本使 root 变得更加困难,Triada 被迫适应。正如谷歌在 2017 年至 2019 年期间指出的那样,Triada 演变为预装后门。这通常是由第三方供应商在制造过程或固件定制过程中注入到系统映像中,而主要 OEM(原始设备制造商)并不知情。

这种演变导致 Triada 成为大规模欺诈行为,受到 HUMAN Security、Google、Trend Micro 等公司的调查。坏盒已经成为核心组成部分。 BADBOX 销售预装基于 Triada 后门的低成本非品牌 Android 设备(智能手机、平板电脑、CTV 盒子、投影仪等)。。这些设备在中国制造并运往世界各地。 BADBOX 使用这些受感染的设备实施各种类型的欺诈,包括程序化广告欺诈(PEACHPIT 僵尸网络)、点击欺诈、创建常驻代理网络(用于帐户接管、虚假帐户创建、DDoS 攻击、恶意软件分发、OTP 盗窃等)以及创建虚假帐户(Gmail、WhatsApp)。

2.4最新功能(RAT 和金融盗窃)

Triada 也被归类为远程访问木马 (RAT)。其功能已扩展到广告和短信欺诈之外,包括以下功能:

  • 消息/社交媒体帐户被盗(Telegram、TikTok)
  • 通过冒充用户秘密发送 WhatsApp 和 Telegram 消息并删除痕迹
  • 剪贴板劫持(加密货币钱包地址替换——Clipper功能)
  • Web 浏览器活动监控和链接替换
  • 通话过程中更换电话号码
  • 拦截短信(用于绕过双因素身份验证和高级短信注册)
  • 下载其他恶意软件
  • 阻止网络连接(干扰反欺诈系统)

最近的 2025 年活动继续在假冒智能手机上预装,并产生了巨大的财务收益,在大约 9 个月的时间里转移了价值 27 万美元的加密货币。。还观察到通过修改后的 WhatsApp 版本(FMWhatsApp、YoWhatsApp)进行分发。它还被发现与 Dwphon 等其他恶意软件捆绑在一起

2.5影响力和知名度

Triada 因其复杂性、持久性和发展能力而被认为是最复杂、最危险的 Android 威胁之一。。据说其复杂性与基于 Windows 的恶意软件相当。。该病毒具有多种传播方式,包括供应链受损,具有广泛的影响,可能影响数百万台设备。,显示出巨大的财务动机及其成功

Triada 从漏洞利用路由木马演变为供应链植入的可修改核心操作系统进程 (Zygote) 的后门,表明存在一个复杂的威胁行为者组织,该组织能够适应安全增强并能够利用复杂的系统级漏洞。这不仅仅是机会主义恶意软件,而且反映了故意和持续的发展。初始生根依赖受操作系统补丁的限制, 合子注射提供了更深入的访问,但仍然需要初始特权访问。通过最终供应链演变为预安装通过将恶意软件嵌入到可能受到损害的第三方供应商提供的基础系统映像中,无需直接利用用户设备,并克服操作系统补丁限制。。这一进展表明攻击者的技术技能、资源投资以及对 Android 生态系统弱点(尤其是硬件供应链弱点)的战略理解有所提高。

此外,Triada 与 BADBOX 操作的紧密集成意味着恶意软件不再只是端点威胁,而是更大的、多方面的犯罪企业(欺诈、代理服务等)的一部分。促成因素这凸显了 Triada 为众多设备提供初始访问和控制机制(后门)的趋势。,BADBOX 操作使用此访问权限来部署各种货币化方案(广告、代理、虚假帐户)的“模块”。这表明存在分层的犯罪基础设施,其中恶意软件(Triada)被用作构建和运营多样化非法业务(BADBOX)的基础工具,使其更具弹性和对运营商有利可图。

3.Shibai:伪装的针对性加密货币快船

3.1 出现和发现(2024-2025)

十白于 2025 年 4 月被 Doctor Web 报道,其活动至少可以追溯到 2024 年 6 月。特别是,它被发现预装在以不太知名的品牌(例如 SHOWJI)销售的低端 Android 智能手机上,同时模仿知名品牌(三星、华为等)的设计。

分销路线是供应链妥协,在设备到达用户之前嵌入固件和预装应用程序中

3.2 技术分析:LSPatch 和裁剪

  • 恶意软件类型:主要是加密货币快船这是恶意软件。 Clipper 功能监视剪贴板,并将复​​制的加密货币钱包地址替换为攻击者控制的地址。针对特定模式(例如以太坊、Tron 地址)。
  • 注射机构:LSP补丁该框架用于将恶意代码注入合法应用程序(大约 40 个已知应用程序,包括 WhatsApp、Telegram 和 QR 扫描仪)。
    • LSPatch 是一个源自 LSPosed 的工具,旨在允许您甚至在非 root 设备上更改应用程序行为。这使得Shibai的恶意模块(com.whatsHook等)可以注入到目标应用程序中。这很可能是在供应链攻击场景中的固件构建过程中完成的。
  • 隐形替换:它的设计巧妙,使发送者在聊天界面上看到自己正确的钱包地址,但实际发送的消息包含攻击者的地址。

3.3 剪裁以外的恶意能力

  • 数据盗窃:设备信息(型号、操作系统版本、SIM 详细信息等)、WhatsApp全部收集位于常用文件夹(DCIM、图片、下载、屏幕截图等)中的消息和图像文件(.jpg、.png、.jpeg)。
  • 种子短语搜索:图像文件盗窃的目的很可能是寻找存储的钱包恢复短语(种子短语)。这使得攻击者能够完全访问钱包并提取资金。
  • 更新劫持:它可以劫持应用程序更新进程并从攻击者控制的 C2 服务器检索恶意 APK 文件。
  • 虚假规格:受影响的设备经常使用另一个应用程序来伪装其硬件规格或 Android 版本(例如在实际较旧的情况下显示 Android 14)来欺骗用户和 AIDA64/CPU-Z 等信息实用程序。

3.4基础设施和影响

Shibai 利用广泛的基础设施。已确定大约 30 个域进行分发,并确定 60 多个 C2 服务器进行管理。根据攻击者钱包分析,这次攻击利润丰厚,在过去两年中获得了超过 160 万美元,证明了供应链妥协和削波技术的有效性。。也有人指出,“十八”这个名字本身可能与加密货币有关。。预装在系统中,一般用户很难或无法删除

石白是一个高度专注的代表供应链攻击。与 Triada/BADBOX 的广泛功能不同,Shibai 的设计表明,一个专门的攻击者群体优先考虑通过加密货币获得直接经济利益。 Shibai的核心功能是加密货币裁剪,附加功能(消息/图像盗窃)通过种子短语搜索直接支持此目标。使用 LSPatch 提供了一种有效的方法,可以将这种特定的恶意功能注入到多个可能处理加密货币地址的流行应用程序(即时通讯程序、QR 扫描仪)中。高报告收益(超过 160 万美元)证实了这种集中方法的成功。这与 Triada 更广泛且不断发展的功能(RAT、短信欺诈、广告欺诈、一般数据盗窃)形成鲜明对比

LSPatch 在供应链攻击中的使用凸显了即使是用于定制和开发目的的开源工具,在与制造流程的访问相结合时,也可以轻松地武器化以进行大规模恶意软件部署。 LSPatch 是一个用于修改应用程序的开源工具。,Shibai 攻击者利用此漏洞将 Clipper/间谍软件代码注入到合法应用程序中。这种注入是在用户获得设备之前作为供应链漏洞的一部分完成的。。这表明攻击者并不总是需要开发全新的注入框架,如果他们能够在适当的阶段(制造/固件准备)获得特权访问权限,则可以有效地重用现有工具。一旦实现了对供应链的访问,这就降低了创建高级预装恶意软件的准入门槛。

4. 比较:Triada vs. Shibai

4.1比较表

为了比较 Triada 和 Shibai 的主要特性,我们将它们总结在下表中。

特征三合会Shibai相关来源(示例)
初确认2016年2024年(2025年报告)
类型模块化木马、RAT、路由木马(早期)、后门、广告软件/垃圾邮件安装程序(早期)、Clipper(后期)剪辑器、间谍软件
主要用途演变:短信欺诈→广告欺诈→RAT/数据盗窃→多方面欺诈(BADBOX)→加密货币盗窃加密货币盗窃(剪辑、助记词搜索)
目标平台Android(最初是早期版本,后来预装)Android(尤其是低成本/假冒设备)
主要感染途径演变:恶意应用程序(包括Play商店)→小木马→供应链/预安装(固件)供应链/预安装(固件)
主要机制Root(初始)、Zygote 注入、模块化、RAM 驻留、系统功能挂钩注入合法应用程序、剪贴板监控、使用 LSPatch 窃取数据
复杂非常昂贵、复杂、适应性强中到高(功能有限,但利用现有框架)
可持续性非常高(系统级别,重置后仍然存在)非常高(系统级别,预装)
相关操作BADBOX / 桃子坑单身(当前报告)
报告利润巨额金额(例如 27 万美元/9 个月; BADBOX 整体上可能更多)高(>160 万美元/2 年)

4.2相似性分析

  • 标的:两者都主要针对 Android 生态系统。
  • 感染途径:两者最具影响力的形式都严重依赖供应链妥协/预安装来避免用户交互和应用商店检查。
  • 动机:两者都是出于经济动机,旨在直接(加密货币剪辑、短信欺诈)或间接(广告欺诈、用于转售/其他犯罪目的的数据盗窃)窃取资金。
  • 持久性:两者都通过集成到系统/固件中而具有高度的持久性,使得最终用户难以删除它们。

4.3 差异分析

  • 活动时期及演变:Triada 的历史要长得多(2016 年 vs. 2024 年),并且随着时间的推移,战术和目标已经发生了显着的变化。石百是最近才出现的,并且自成立以来就有一个明确的目标。
  • 复杂性和范围:Triada 通常被描述为更加复杂和多功能(模块化 RAT、Zygote 修改和广泛的 BADBOX 操作集成)。 Shibai 拥有复杂的供应链路线和剪裁,但功能更窄、更具体(通过 LSPatch 注入窃取加密货币)。
  • 核心技术:Triada 的标志性技术是针对广泛的系统妥协的 Zygote 修改。 Shibai 依靠 LSPatch 有针对性地注入特定应用程序。
  • 目标设备:虽然两者都会影响多种设备,但 Shibai 的报告特别提到,它们针对的是模仿知名品牌的低端/假冒型号。与此同时,Triada/BADBOX 影响了各种非品牌设备,包括 CTV 盒子和平板电脑。

核心技术的差异(Zygote 与 LSPatch 注入)反映了在供应链攻击的限制下实现持久性和功能的不同方法。 Zygote修改需要对Android核心流程有深入的理解和操控。全部允许对应用程序进行广泛的控制。另一方面,LSPatch 使用框架来挂钩特定的目标应用程序。,这足以满足 Shibai 的重点目标(Messenger 内的加密货币地址拦截)。在攻击者控制构建环境的供应链场景中,在将特定 APK 包含在固件中之前使用 LSPatch 对其进行修改可能比执行 Zygote 修改的集成任务复杂度要低。尽管如此,像十八般有针对性的攻击仍然可以达到预期的效果。这表明攻击者根据供应链妥协的背景下所需控制的广度和实施的复杂性/易用性之间的权衡来选择技术。

5.供应链妥协的普遍威胁

Triada(特别是通过 BADBOX)和 Shibai 都体现了硬件/软件供应链漏洞带来的严重威胁

在第三方供应商的恶意代码注入、制造或固件定制过程中可能会发生妥协,通常针对监管不力的低成本设备生产线。。趋势科技确定的 Lemon Group 与预装设备和 Triada 运营商相关

此类攻击带来了严峻的挑战,包括:

  • 难以检测:由于漏洞发生在设备可用之前,因此用户或标准安全工具很难检测到。
  • 除去不能:由于恶意软件驻留在受保护的系统分区 (ROM) 和固件上,因此用户删除通常是不可能的。重新刷新通常是唯一的解决方案,但这超出了普通用户的能力。
  • 归属和责任:很难准确查明复杂的全球供应链中的漏洞发生在哪里。
  • 信任的侵蚀:它破坏了消费者对硬件供应商和设备生态系统的信任。

针对移动设备的供应链攻击代表了对全球化和分散制造流程的战略利用。现代电子产品涉及不同国家的许多组件供应商、软件开发商(通常是第三方)、制造商和分销商。。成本压力,特别是在低成本设备市场,可能会导致对第三方代码和流程的安全审查减少。这种碎片化使得端到端安全审计变得极其困难。攻击者可以利用这些漏洞(例如,通过损害提供面部识别等特定功能的第三方供应商)。)注入 Triada 和 Shibai 等恶意软件。全球分销网络可以有效地将这些受感染的设备传播到世界各地。。这将全球商业的效率转变为高效的恶意软件分发网络。

6. 缓解和防御策略:嵌入式威胁防护

对抗嵌入式威胁需要采用多层次的方法,其中包括用户、制造商、平台提供商和安全社区。

6.1 用户级建议

  • 值得信赖的购买来源:从值得信赖和授权的供应商和制造商处购买您的设备。警惕可疑的低价或非品牌设备,尤其是在线市场上的设备。
  • 安全软件:安装可靠的移动安全解决方案并保持最新状态。然而,检测预安装的固件恶意软件可能很困难。
  • 更新:请保持您的 Android 操作系统和所有应用程序为最新。通过补丁,一些恶意软件组件或后来下载的模块所利用的漏洞可能会得到修复。但是,固件级感染可能无法通过更新消除。
  • 检查权限:仔细检查应用程序权限,尤其是高风险权限,例如辅助服务(通常被恶意软件滥用)。不要给予过多的特权。
  • 监控可疑活动:监控您的设备是否存在异常行为(异常电池消耗、意外网络流量、奇怪的弹出窗口等)。然而,像 Triada 这样的高级恶意软件被设计为隐秘的。
  • 刷新(针对高级用户):如果怀疑固件级感染,最可靠的删除方法是刷新干净的官方固件映像。这是一个技术过程,可能并不适合所有用户。
  • 避免非官方来源:不要安装来自不受信任的第三方商店或来源的应用程序。避免使用非官方或修改过的应用程序版本(例如 Triada 发行版中提到的 WhatsApp mod)。

6.2 产业和生态系统的作用

  • 代工责任:制造商必须在运输设备之前和无线 (OTA) 更新期间对包含第三方代码的系统映像进行彻底的安全审查。需要供应链完整性验证。
  • 谷歌的角色:Google Play Protect 等举措会扫描应用程序,无论其来源如何,并努力识别包含 Triada 等不断演变的威胁的 PHA(潜在有害应用程序)。我们与研究人员和 OEM 合作消除威胁。 Play Protect 认证是一个重要指标。
  • 安全研究:安全公司(卡巴斯基、Dr. Web、Google、HUMAN、趋势科技等)的持续分析对于发现、理解和报告这些威胁至关重要。合作和信息共享(例如 HUMAN、Google、趋势科技、Shadowserver 之间的合作)是关键。
  • 妨害活动:像德国 BSI 对 BADBOX 所做的那样,对 C2 基础设施进行下沉等措施可以减轻持续的损害,但并不能消除恶意软件本身。

有效缓解供应链恶意软件需要采用涉及用户、制造商、平台提供商 (Google) 和安全社区的多层方法。用户选择可信来源,您可以通过养成良好的安全习惯来降低风险。但预装固件恶意软件无法轻易检测或删除。因此,预防必须发生在上游。即 OEM 的供应链和固件审查,以及 Google 的平台级保护和身份验证 (Play Protect)是。安全社区在发现这些威胁(通常需要深入的固件分析)和协调破坏工作方面发挥着关键作用。。这表明供应链安全是整个生态系统的共同责任。

7. 总结:我们口袋里的隐形战斗

在本文中,我们对Android恶意软件“Triada”和“Shibai”进行了详细的对比分析。 Triada 的特点是复杂性、长期演化、多功能性以及与大规模欺诈操作 BADBOX 的关联。另一方面,Shibai 则利用 LSPatch 框架成为一个更加专注的加密货币剪辑器。两者的共同点是,在最危险的形式下,它们都依赖于硬件和软件供应链的妥协。

这些案例符合日益复杂的移动威胁的大趋势,这些威胁利用了传统攻击面之外的弱点。预装恶意软件尤其对用户信任和设备安全构成严重挑战。

尽管PEACHPIT和BADBOX的C2服务器等某些操作可能会受到干扰。,底层技术(供应链妥协、Zygote/LSPatch 修改)和威胁参与者仍然存在。我们期望攻击者能够继续发展和适应。

因此,用户的警惕、制造商和平台提供商的主动安全措施以及网络安全社区内的持续研究和协作对于应对这些高级和嵌入式威胁至关重要。这场看不见的战斗在我们的口袋里继续进行。

【术语解释】

特里亚达:
2016 年发现的高级 Android 恶意软件。最初以其 Root 功能而闻名,后来演变成通过 Zygote 注入和供应链攻击分布的后门。多功能用于广告欺诈、短信欺诈、数据盗窃、加密资产盗窃等。

石白:
Android恶意软件的活动自2024年左右开始被确认,并于2025年被报告。它主要预装在低价假冒智能手机上,并使用LSPatch框架将代码注入到合法应用程序中,以执行替换加密钱包地址并窃取数据的剪裁功能。

供应链攻击:
一种攻击方法,涉及在从产品或软件开发和制造直至到达用户的供应链任何​​阶段引入恶意代码或组件。设备和软件以合法方式分发,因此用户很难注意到。

加密剪辑器:
一种恶意软件,能够监视用户设备的剪贴板(用于复制和粘贴功能的临时存储区域),并自动将复制的加密资产(虚拟货币)的钱包地址替换为攻击者控制的另一个地址。在用户不知情的情况下擅自改变汇款目的地。

LSP补丁:
一个框架,允许您修改应用程序的行为并在非 root Android 设备上注入任意代码(补丁)。它最初是一个用于开发和定制目的的工具,但被Shibai恶意软件利用。

受精卵注射:
一种将恶意代码注入Android系统核心进程“Zygote”进程的高级攻击方法。 Zygote 是所有应用程序进程的父进程,因此此处注入的代码可以影响设备上运行的几乎每个应用程序并获得深度系统访问权限。因 Triada 使用而闻名。

RAT(远程访问木马):
允许攻击者从远程位置未经授权访问受感染设备并执行操作(窃取文件、执行命令、监控等)的恶意软件。

坏盒:
使用预装 Triada 恶意软件的 Android 设备(智能手机、电视盒等)进行大规模欺诈广告和欺诈活动的名称。经 HUMAN Security、Google、Trend Micro 等调查

预装恶意软件:
在设备发货前、制造阶段或固件写入期间嵌入系统中的恶意软件。当用户第一次启动设备时它就已经被感染,因此很难检测和删除。

C2服务器(命令和控制服务器):
恶意软件与外部攻击者通信以接收指令或发送被盗信息的中间服务器。充当攻击基础设施的控制塔。

恢复短语/种子短语:
恢复加密钱包所需的单词组合,通常为 12 或 24 个单词。如果泄露,第三方将完全控制钱包中的资产,因此需要极其严格的管理。

[参考链接]

医生网官方网站(外部)
俄罗斯安全公司运营的防病毒软件开发公司

盐安全官方网站(外部)
一家专注于 API 的安全公司,提供利用 AI 的保护服务。

津佩瑞姆官方网站(外部)
移动安全领域的领导者,提供人工智能驱动的保护技术

[相关文章]

在 innovaTopia 上阅读更多网络安全新闻

Related articles