Koop je weleens een smartphone via een onbekende webshop of marktplaats? Denk dan twee keer na. Er gaan neptelefoons rond met vooraf ingebouwde malware die stilletjes je crypto probeert te stelen. En je merkt het pas als het te laat is.

Vooraf besmette toestellen

Volgens cybersecuritybedrijf Kaspersky zijn er al zeker 2.600 Android-toestellen gevonden die besmet geleverd werden. Vooral gebruikers in Rusland zijn getroffen, maar ook in andere landen duikt de malware op. Het gaat om telefoons die online voor een lage prijs worden aangeboden. Ze lijken nieuw, maar onder de motorkap zit een trojan die de controle over het toestel overneemt—nog voordat jij hem uit de verpakking haalt.

De boosdoener? Een hardnekkige variant van de Triada-malware. Die nestelt zich diep in het systeem, nog vóór je als gebruiker ook maar iets hebt ingesteld.

Wat doet deze trojan?

Zodra het toestel wordt ingeschakeld, gaat de malware aan het werk. En dat gebeurt zonder waarschuwing. De trojan:

• Vervangt wallet-adressen, zodat jouw crypto naar hun wallet gaat
• Leest je sms’jes, inclusief tweefactorauthenticatie
• Steelt logins en gegevens uit apps zoals WhatsApp en Gmail
• Maakt het toestel volledig overneembaar

Volgens Kaspersky konden de aanvallers hiermee zeker $270.000 aan crypto buitmaken. Vermoedelijk ligt het bedrag nog hoger, vooral omdat ook Monero wordt gestolen—een coin die juist niet te traceren is.

Hoe komen deze toestellen op de markt?

Waarschijnlijk wordt de malware toegevoegd ergens in de productieketen. Denk aan fabrikanten of tussenpartijen die de firmware aanpassen. Zelfs de webshop of winkel die het toestel verkoopt, hoeft van niets te weten. Het probleem zit dus niet altijd bij de verkoper, maar bij wie er vóór hen aan het toestel heeft gesleuteld.

Triada is geen nieuw virus

Triada is al sinds 2016 actief en staat bekend als een van de gevaarlijkste soorten malware voor Android. Het was eerder vooral actief via phishing en foute downloads. Maar nu zit het dus standaard ingebouwd in sommige toestellen.

Wat kun je doen om jezelf te beschermen?

• Koop alleen bij betrouwbare verkopers of direct bij de fabrikant
• Gebruik direct een beveiligingsapp, nog vóór je apps gaat installeren
• Wees kritisch op aanbiedingen die te mooi lijken om waar te zijn

En Triada is niet de enige dreiging. Cybersecuritybedrijven zoals Threat Fabric en Microsoft melden recent ook nieuwe malwarevarianten die zich richten op crypto-investeerders. Denk aan nep-overlay schermen die je seed phrase proberen te stelen of malware die browserextensies van wallets overneemt.

Blijf scherp

Het draait niet meer alleen om phishingmails of verdachte links. Tegenwoordig kan zelfs je gloednieuwe smartphone al besmet zijn bij levering. Dus blijf alert, ook bij aankopen van hardware. Want één verkeerde telefoon kan je hele wallet leegtrekken—voordat je überhaupt je eerste app hebt geopend.