Найти в Дзене
mechNEWS
31 подписчик

Как поддельный Telegram X поставил под угрозу 60 000 аккаунтов?

3
3 мин
Механика атаки и скрытый функционал
Попав на устройство, троянец интегрируется в мессенджер и активируется при его запуске. Внешне приложение выглядит и работает как обычный Telegram X, не вызывая подозрений у пользователя. Однако в фоновом режиме вредоносный код начинает свою деструктивную деятельность. Злоумышленники получают возможность: Инновационный канал управления через Redis
Одной из самых примечательных особенностей Baohuo является его система управления. Помимо стандартного центра управления (C2-сервера), троянец впервые в истории Android-угроз использует базу данных Redis для получения команд и передачи данных. Этот канал применяется для рассылки настроек, инструкций и сбора информации с зараженных устройств. На случай недоступности базы данных реализован резервный канал связи через классический C2-сервер. География и пути распространения
Кампания по заражению стартовала в середине 2024 года и в основном была нацелена на пользователей из Бразилии и Индонезии. Для их привлече

Эксперты компании «Доктор Веб» раскрыли масштабную киберкампанию, в центре которой оказалась зловредная модификация мессенджера Telegram X. В отличие от простых шпионских программ, эта угроза представляет собой многофункциональный инструмент для полного захвата контроля над учетной записью жертвы. Троянец, получивший название Android.Backdoor.Baohuo.1.origin, действует скрытно и предоставляет злоумышленникам практически неограниченные возможности.

Механика атаки и скрытый функционал
Попав на устройство, троянец интегрируется в мессенджер и активируется при его запуске. Внешне приложение выглядит и работает как обычный Telegram X, не вызывая подозрений у пользователя. Однако в фоновом режиме вредоносный код начинает свою деструктивную деятельность.

Злоумышленники получают возможность:

  • Полностью контролировать аккаунт: красть сообщения, историю переписки, логины, пароли и токены авторизации.
  • Манипулировать подписками: массово вступать в чаты и подписываться на каналы от имени жертвы, что превращает ботнет в инструмент для накрутки.
  • Подменять интерфейс: создавать фишинговые окна, скрывать от владельца устройства отдельные чаты и авторизованные сессии, чтобы оставаться незамеченным.
  • Перехватывать критичные данные: считывать содержимое буфера обмена, где часто оказываются пароли, коды восстановления и ключи от криптокошельков.
  • Использовать устройство как прокси: превращать смартфон жертвы в промежуточный сервер для других атак.

Инновационный канал управления через Redis
Одной из самых примечательных особенностей Baohuo является его система управления. Помимо стандартного центра управления (C2-сервера), троянец впервые в истории Android-угроз использует базу данных Redis для получения команд и передачи данных. Этот канал применяется для рассылки настроек, инструкций и сбора информации с зараженных устройств. На случай недоступности базы данных реализован резервный канал связи через классический C2-сервер.

География и пути распространения
Кампания по заражению стартовала в середине 2024 года и в основном была нацелена на пользователей из Бразилии и Индонезии. Для их привлечения создавались фиктивные веб-сайты, имитирующие каталоги приложений, где троянец маскировался под версию Telegram для видеочатов и знакомств. Сайты содержали поддельные отзывы и скриншоты, а рекламные баннеры были переведены только на португальский и индонезийский языки.

Однако угроза вышла за рамки целевых регионов. Вредоносное приложение также проникло в сторонние магазины приложений, такие как APKPure, ApkSum и AndroidP. В частности, в APKPure оно было размещено от имени легитимного разработчика, но с иной цифровой подписью.

Техники внедрения и скрытности
Исследователи выделили три основные методики, используемые для внедрения троянца:

  1. Прямое внедрение в код: модификация основного исполняемого файла приложения.
  2. Использование LSPatch: загрузка вредоносного модуля через этот инструмент для модификации приложений.
  3. Отдельный DEX-файл: размещение вредоносного кода в ресурсах приложения в виде отдельного компонента.

Независимо от способа внедрения, троянец активно использует фреймворк Xposed для подмены методов мессенджера и добавления скрытого функционала, оставаясь невидимым для большинства пользователей.

Вывод и рекомендации по безопасности
История с троянцем Baohuo наглядно демонстрирует, к каким катастрофическим последствиям может привести установка приложений из непроверенных источников. Использование поддельного мессенджера обернулось для десятков тысяч пользователей полной компрометацией личной переписки, учетных записей и других конфиденциальных данных.

Чтобы обезопасить себя, необходимо:

  • Скачивать приложения только из официальных магазинов (Google Play Market). Это главное и самое важное правило.
  • Обращать внимание на разрешения, которые запрашивает приложение, и критически оценивать их необходимость.
  • Не доверять сайтам-одностраничникам и сторонним каталогам APK, особенно если они предлагают «улучшенные» или «специальные» версии популярных программ.
  • Регулярно обновлять операционную систему и антивирусное ПО.

Осведомленность и осторожность остаются ключевыми факторами защиты в современной цифровой среде.