27/10/25
Вредоносная модификация мессенджера Telegram X, обнаруженная специалистами «Доктор Веб», оказалась не просто шпионским инструментом, а полнофункциональной платформой для скрытого захвата учётной записи пользователя и управления её действиями. Встроенный троян Android.Backdoor.Baohuo.1.origin обеспечивает злоумышленникам неограниченный доступ к мессенджеру и позволяет не только красть сообщения, логины, пароли и историю переписки, но и незаметно подключаться к учётной записи, подменять список авторизованных устройств и скрывать свою активность.
С его помощью злоумышленники также могут управлять подписками на каналы, присоединяться к чатам и контролировать другие функции Telegram от имени жертвы. Всё это делает Baohuo удобным инструментом для продвижения каналов и проведения целевых атак, пишет Securitylab.
Кампания заражения началась ещё в середине 2024 года, а общее число скомпрометированных устройств превысило 58 тысяч. Для распространения используются фальшивые сайты, стилизованные под каталоги приложений, где троян маскируется под Telegram X. Там пользователю предлагают установить мессенджер для видеочатов и знакомств, размещая поддельные отзывы и скриншоты.
Эти сайты ориентированы на пользователей из Бразилии и Индонезии, а на рекламных баннерах применяется упрощённый перевод лишь на эти два языка. Однако инфекция затронула широкий спектр устройств — от смартфонов до автомобильных систем с Android.
Кроме фишинговых страниц, вредоносная версия Telegram X размещалась и в сторонних магазинах приложений, включая APKPure, ApkSum и AndroidP. В случае с APKPure троян был опубликован от имени настоящего разработчика, хотя цифровая подпись отличалась. Специалисты уже уведомили площадки о наличии заражённых версий.
Исследователи выявили три основных типа модификаций: с внедрением в основной исполняемый файл, с загрузкой через LSPatch и с отдельным DEX-файлом, размещённым в ресурсах приложения. Независимо от варианта, троян активируется при запуске мессенджера и не мешает его работе, сохраняя внешний вид оригинального Telegram X. Вредоносный код может подменять методы мессенджера или внедрять новые функции с помощью Xposed. Например, он способен подделывать окна с фишинговыми сообщениями, прятать отдельные чаты и устройства, а также перехватывать содержимое буфера обмена.
Особое внимание специалисты уделили нестандартной системе управления. Помимо привычного C2-сервера, Android.Backdoor.Baohuo.1.origin получает команды через базу данных Redis — это первый зафиксированный случай использования такой технологии в Android-угрозах. Через Redis передаются настройки, команды и информация о заражённых устройствах. При этом предусмотрен резервный канал передачи команд через C2 на случай недоступности базы данных.
Троян способен выполнять широкий спектр задач: отправлять контакты и SMS, загружать историю сообщений, получать списки устройств и токены авторизации, оформлять подписки на каналы, отключать уведомления от чатов, подменять интерфейсные элементы, скачивать обновления и даже превращать заражённое устройство в прокси-сервер.
Особую угрозу представляет возможность перехвата текста из буфера обмена, поскольку в нём могут оказаться пароли, фразы восстановления криптокошельков и другие конфиденциальные данные.
