Se trata del grupo de programas Triada, diseñados para colocar anuncios en el dispositivo y enviar spam. Los expertos de Google han descubierto que los troyanos de este tipo pueden ser preinstalados.
Aparentemente, los programas de Triada envían spam y muestran anuncios mediante el empleo de un kit de herramientas capaces de eludir las medidas de seguridad. El 'malware' es lo suficientemente potente como para alterar las aplicaciones instaladas, especialmente las de terceros y conectarse a más de una docena de servidores de comando y control.
"Los creadores de Triada recaudaban ingresos de los anuncios mostrados por las aplicaciones de spam. Los métodos utilizados por Triada fueron complejos e inusuales para este tipo de aplicaciones. Las aplicaciones de Triada comenzaron como troyanos de enraizamiento, pero a medida que Google Play Protect reforzaba sus defensas, las aplicaciones se vieron obligadas a adaptarse", revela Google en su blog.
Triada infecta el dispositivo a través de un tercero durante el proceso de producción. A veces, los fabricantes de equipos originales desean incluir funciones que no forman parte del proyecto Android Open Source Project, como el desbloqueo facial. Para eso, el fabricante puede asociarse con un tercero que le desarrolla la característica deseada y luego la imagen completa del sistema se envía al fabricante.
"Basándonos en el análisis, creemos que el proveedor que utiliza el nombre Yehuo o Blazefire infectó la imagen del sistema con Triada", concluye Google.
