Ваш Telegram X может выглядеть и работать как обычно, но втайне уже выполнять команды злоумышленников. Новый бэкдор Baohuo не просто ворует данные, а незаметно превращает аккаунт в раба для накрутки подписчиков в каналах, тщательно скрывая следы взлома.
Специалисты по кибербезопасности из компании «Доктор Веб» сообщили об обнаружении сложной угрозы для пользователей Android — бэкдора, получившего название Android.Backdoor.Baohuo.1.origin. Это вредоносное ПО встраивается в модифицированные версии популярного клиента Telegram X и даёт атакующим практически безграничные возможности по управлению учётной записью жертвы. По оценкам экспертов, число заражённых устройств уже превысило 58 000 по всему миру.
Что известно о бэкдоре Android.Backdoor.Baohuo.1.origin?
Baohuo — это не просто очередной троян, ворующий пароли. Его архитектура выдаёт серьёзный подход разработчиков. Помимо стандартных функций, таких как кража логина, пароля и истории переписки, он обладает уникальными способностями к маскировке. Например, вирус умеет скрывать подключения со сторонних устройств в списке активных сеансов Telegram. Таким образом, даже бдительный пользователь, решивший проверить безопасность своего аккаунта, не увидит ничего подозрительного.
Ещё одной технической особенностью, которая удивила исследователей, стало использование базы данных Redis для управления заражёнными устройствами. Это нетипичное для Android-вредоносов решение, которое обеспечивает злоумышленникам более надёжный и гибкий канал для отправки команд, чем традиционные C2-серверы.
👉 Такие новости мы постоянно публикуем в Telegram. Подписывайтесь на канал, чтобы ничего не пропустить ;)
Основной вектор распространения заразы — навязчивая реклама внутри других мобильных приложений. Пользователям показывают баннеры с предложением установить улучшенную версию Telegram X, позиционируя её как площадку для общения и видео-свиданий. Клики по таким баннерам перенаправляют на сайты, искусно имитирующие дизайн магазинов приложений.
Напомним, что сейчас в самом Telegram рекламируют ещё один неофициальный клиент Telega, который у многих вызывает вопросы.
На этих страницах потенциальную жертву убеждают скачать APK-файл с помощью поддельных отзывов от «счастливых пользователей», нашедших себе пару. Примечательно, что хотя на сайтах есть переключатель языка, изображения и рекламные тексты остаются прежними, что указывает на массовый, но не слишком проработанный характер кампании. Кроме того, заражённые версии были обнаружены даже в популярных сторонних каталогах, таких как APKPure, ApkSum и AndroidP.
Не только кража данных: главная цель — превращение аккаунта в бота
Хотя Baohuo может похищать практически любые данные с устройства, включая содержимое буфера обмена, контакты и СМС, его ключевая задача — монетизация через теневой рынок услуг в Telegram. Получив контроль над аккаунтом, злоумышленники используют его для автоматического вступления в различные каналы и чаты, а также для подписки на них. Все эти действия также скрываются от владельца.
Фактически, заражённые устройства превращаются в огромную бот-сеть, которую можно использовать для искусственной накрутки показателей популярности Telegram-каналов. Это превращает жертву не просто в источник данных, но и в невольного соучастника манипуляций с аудиторией. Если у вас есть знакомые, которые любят экспериментировать с модами популярных приложений, обязательно отправьте им эту статью — это может спасти их аккаунты.
Проверяем и защищаем свой аккаунт. Что делать при обнаружении заражения?
Главный вопрос — откуда был установлен ваш Telegram X? Если это не официальный магазин Google Play или сайт Telegram, устройство находится в зоне риска. Золотое правило — загружать приложения исключительно из Google Play или с официальных сайтов разработчиков.
Если у вас появились подозрения, то необходимо просканировать устройство надёжным мобильным антивирусом. Антивирусные решения от «Доктор Веб», Kaspersky или ESET, как правило, оперативно добавляют новые угрозы в свои базы.
Хотя вирус и пытается скрыть следы, стоит проверить активные сеансы в настройках Telegram («Настройки» > «Устройства»). Любой незнакомый сеанс — повод для немедленных действий.
Двухфакторная аутентификация (2FA) кране рекомендована. Обязательно нужно включить облачный пароль в настройках Telegram («Конфиденциальность» > «Облачный пароль»). Даже если злоумышленники получат код из СМС, они не смогут войти в аккаунт без этого пароля.
Стоит также помнить, что предложения скачать «улучшенную» или «специальную» версию популярного приложения очень часто являются уловкой для распространения вредоносного ПО.