Изображение: recraft
Специалисты компании «Доктор Веб» выявили опасный бэкдор под обозначением Android.Backdoor.Baohuo.1.origin в модифицированных вариантах мессенджера Telegram X. Зловред распространяется в виде APK и предоставляет злоумышленникам полный удалённый контроль над аккаунтом пользователя и доступ к конфиденциальным данным, что создаёт риски для приватности и финансовой информации владельцев устройств.
По оценке «Доктор Веб», число заражённых превысило 58 000 устройств, при этом одновременно активно подключено примерно 20 000 инфицированных клиентов. Под удар попали около 3 000 моделей оборудования; среди затронутых платформ оказались не только смартфоны и планшеты, но и ТВ‑приставки, а иногда и автомобильные бортовые системы на базе Android. Основной вектор распространения — рекламные баннеры в приложениях, которые перенаправляют пользователей на сайт с предложением скачать «Telegram X» для знакомств или видеочатов. Сайт имитирует магазин приложений и содержит фиктивные отзывы и кнопку загрузки APK.
Функции трояна:
- фальсифицировать список активных сессий Telegram чтобы скрыть подключённые устройства и маскировать компрометацию;
- добавлять и удалять пользователей из каналов, вступать в чаты и отправлять сообщения от имени владельца аккаунта чтобы накручивать подписчиков и управлять активностью;
- перехватывать содержимое буфера обмена загружать СМС и контакты вытаскивать историю сообщений и токены аутентификации;
- работать через классический канал управления и через базу данных Redis в роли второго канала управления;
- создавать на заражённых устройствах прокси‑сервисы НРS загружать обновления трояна и отображать фишинговые окна прямо в интерфейсе мессенджера.
Особая опасность этой кампании состоит в сочетании нескольких приёмов эксплуатации и устойчивых механизмов сокрытия следов. Злоумышленники используют Redis как альтернативный канал команд что нетипично для Android‑угроз и усложняет детектирование активности. Также троян позволяет похищать аутентификационные токены и историю чатов что создаёт возможность дальнейших атак на контакты жертвы и раскрытия платёжной информации.
Эксперты «Доктор Веб» рекомендуют не устанавливать приложения из непроверенных источников не переходить по рекламным баннерам и проверять домен и оформление сайта перед загрузкой APK. Если есть подозрение на компрометацию аккаунта стоит отключить активные сессии через настройки мессенджера сменить пароли и проверить телефонные номера и привязанные способы восстановления. В корпоративной среде важно контролировать установку приложений на устройства сотрудников и внедрять решения для обнаружения подозрительного сетевого трафика и нежелательных прокси‑сервисов.
Оригинал публикации на сайте CISOCLUB: "Россиян предупредили о мощном вирусе в поддельном Telegram X, уже приведшем к компрометации 58 000 устройств".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.