繼俄羅斯安全公司卡巴斯基3年前首次公開報告之後，今天谷歌安全博客發文稱通過他們的供應鏈已經確認部分Android設備的固件更新已經被感染，以便於黑客安裝惡意程序。黑客利用名為“Triada”的惡意程序感染這些固件，卡巴斯基於2016年3月的官方博客中首次描述了這種惡意軟件。

該惡意程序可以和眾多命令、控制中心進行通信，並允許安裝可用於發送垃圾郵件和顯示廣告的應用程序。2017年7月，反病毒廠商Dr Web發現Triada被內置到許多Android設備的固件中，其中包括Leagoo M5 Plus，Leagoo M8，Nomu S10和Nomu S20等等。而且由於該惡意程序屬於操作系統本身，因此無法輕鬆刪除。

谷歌Android安全和隱私團隊成員Lukasz Siewierski於週四發布了一篇詳細的博客文章，證實了Web博士近兩年前的報導。他在博文中寫道“Triada應用程序的主要目的是在顯示廣告的設備上安裝垃圾應用程序。”

谷歌在博文中寫道：“Triada的創建者通過垃圾應用上顯示的廣告來牟利。和其他同類惡意軟件相比，Triada更加複雜且不常見。Triada是從rooting trojans木馬發展而來的，但隨著Google Play Protect對防禦這種攻擊的增強，Triada惡意程序被迫轉型以系統鏡像後門方式進行感染。但是，由於OEM合作和我們的推廣工作，原始設備製造商準備了系統映像，其安全更新消除了Triada感染。”

儘管Siewierski在博文中並未提及具體的手機型號，但是提到了幾家已經受到感染的手機廠商名稱。他表示：“Triada在量產環節中通過第三方來感染設備系統鏡像。有時OEM廠商希望包含不屬於Android開源項目的功能，例如面部解鎖等。”

他表示：“OEM可能會與可以開發所需功能的第三方合作，並將整個系統映像發送給該供應商進行開發。基於分析，我們認為使用Yehuo或Blazefire的供應商返回了感染Triada惡意程序的系統固件。”