Специалисты компании «Доктор Веб» выявили вредоносное ПО для Android под названием Android.Backdoor.Baohuo.1.origin, которое нацелено на модифицированные версии мессенджера Telegram X. Это бэкдор-вредонос, способный не только похищать учетные данные и историю переписок, но и полностью управлять скомпрометированными аккаунтами — при этом злоумышленники применяют нестандартные методы управления и масштабируют атаку на десятки тысяч устройств.
По данным «Доктор Веб», вредонос присутствует в модифицированных сборках Telegram X и предназначен для кражи конфиденциальной информации и полного контроля над аккаунтами.
Ключевые возможности вредоносного ПО
- Кража конфиденциальной информации: имена пользователей, пароли, история чатов.
- Полный захват аккаунтов Telegram — выполнение действий от имени жертвы.
- Уклонение от обнаружения: скрытие соединений со сторонних устройств в списке активных сессий Telegram.
- Манипуляции с аккаунтом: добавление и удаление пользователей из каналов, автоматическое присоединение/покидание чатов и другие действия без ведома владельца.
- Автоматизация и фальсификация метрик: увеличение числа подписчиков каналов за счёт управления чужими аккаунтами.
Необычная инфраструктура управления
Одной из особенностей Android.Backdoor.Baohuo.1.origin является использование базы данных Redis в качестве механизма управления (C2). Это редкий и нетипичный для Android-платформы подход, который позволяет злоумышленникам централизованно управлять большим количеством заражённых устройств.
По оценкам исследователей, в настоящее время насчитывается более 58 000 заражённых экземпляров (устройств с установленным бэкдором), что свидетельствует о широком масштабе кампании.
Последствия для пользователей и площадок
Действия злоумышленников несут ряд серьёзных рисков:
- Утечка личных и конфиденциальных данных;
- Имитация действий владельца аккаунта — рассылки, публикации и управление подписчиками;
- Манипуляции репутацией через фальсификацию активности в каналах и чатах;
- Сложность обнаружения компрометации из‑за маскировки сессий.
Практические рекомендации
Чтобы снизить риск компрометации и минимизировать последствия, пользователям и администраторам рекомендуется:
- Не использовать модифицированные (sideloaded) версии приложений — устанавливать только официальные релизы из проверенных магазинов.
- Включить двухфакторную аутентификацию (Two-Step Verification) в Telegram и использовать надёжные уникальные пароли.
- Проверить и при необходимости завершить все неизвестные или подозрительные активные сессии в Telegram (но учесть, что вредонос может пытаться это скрыть).
- Поменять пароли, проверить настройки приватности и права администратора в каналах и группах.
- Провести сканирование устройства антивирусным ПО и при серьёзных подозрениях выполнить очистку/сброс устройства или переустановку приложения из официальных источников.
- Следить за обновлениями безопасности и рекомендациями от Telegram и антивирусных компаний (включая «Доктор Веб»).
Вывод
Android.Backdoor.Baohuo.1.origin демонстрирует тенденцию использования популярных коммуникационных платформ для масштабных атак и эксплойта человеческого фактора через модифицированные клиенты. Комбинация кражи учетных данных, скрытой сессийной активности и нетипичной инфраструктуры управления (Redis) делает эту угрозу серьёзной. Основная защита — осторожность при установке приложений, строгие настройки безопасности аккаунта и оперативное реагирование при подозрениях на компрометацию.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Android.Backdoor.Baohuo.1.origin: бэкдор для Telegram X с управлением через Redis".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
