Triadaは2016年にカスペルスキー研究所によって発見された。当時のTriadaはアンドロイド端末のランダム・アクセス・メモリ(RAM)に潜み込み、ルート権限を奪いシステムファイルを悪意のあるものに書き換える機能を持っていた。
その後、2017年の夏にDr. Webの研究者らが、さらに進化した機能を持つTriadaが出現したことを突き止めた。それまでは出荷後のアンドロイド端末に感染していたTriadaが、出荷前の端末にプリインストールされ、ファームウェアのバックドアとして機能していたのだ。
これにより、Triadaが仕込まれた端末においては、アプリを起動する度にバックドアのコードが実行される状態になっていた。グーグルでアンドロイドのセキュリティを調査するLukasz Siewierskiは、公式ブログでTriadaの動作の詳細を明らかにした。
ブログの記事によるとTriadaによるバックドアは、新品のアンドロイド端末に仕込まれていることが確認されており、サードパーティの製造プロセスで組み込まれているという。
Siewierskiによるとバックドアが仕込まれた端末は、ほとんどが中国で販売中の格安端末であり、一般的な消費者はさほど気にする必要はないという。また、これらの端末を中国から輸入して使用中のユーザーもいるかもしれないが、グーグルは既に対策を講じたと彼は述べている。
グーグルは影響を受けたメーカーと協力してシステムのアップデートを提供したほか、感染した端末からOTAアップデートによって、Triadaを駆除したという。また、今後のスキャンによってTriadaをシステムから排除していくという。
さらに、セキュリティサービスのGoogle PlayプロテクトにもTriadaやそれに関連するアプリを探知し、ユーザーの端末から排除する機能が実装されたという。
