Вредоносная модификация Telegram заразила около 60 тысяч Android-устройств 12:00 / 25 октября, 2025 Доктор Веб Android.Backdoor.Baohuo.1.origin Telegram X Redis APKPure троян Троян работает полностью незаметно и сохраняет привычный интерфейс оригинального мессенджера. Вредоносная модификация мессенджера Telegram X, обнаруженная специалистами «Доктор Веб», оказалась не просто шпионским инструментом, а полнофункциональной платформой для скрытого захвата учётной записи пользователя и управления её действиями. Встроенный троян Android.Backdoor.Baohuo.1.origin обеспечивает злоумышленникам неограниченный доступ к мессенджеру и позволяет не только красть сообщения, логины, пароли и историю переписки, но и незаметно подключаться к учётной записи, подменять список авторизованных устройств и скрывать свою активность. С его помощью злоумышленники также могут управлять подписками на каналы, присоединяться к чатам и контролировать другие функции Telegram от имени жертвы. Всё это делает Baohuo удобным инструментом для продвижения каналов и проведения целевых атак. Кампания заражения началась ещё в середине 2024 года, а общее число скомпрометированных устройств превысило 58 тысяч. Для распространения используются фальшивые сайты, стилизованные под каталоги приложений, где троян маскируется под Telegram X . Там пользователю предлагают установить мессенджер для видеочатов и знакомств, размещая поддельные отзывы и скриншоты. Эти сайты ориентированы на пользователей из Бразилии и Индонезии, а на рекламных баннерах применяется упрощённый перевод лишь на эти два языка. Однако инфекция затронула широкий спектр устройств — от смартфонов до автомобильных систем с Android . Кроме фишинговых страниц, вредоносная версия Telegram X размещалась и в сторонних магазинах приложений, включая APKPure, ApkSum и AndroidP. В случае с APKPure троян был опубликован от имени настоящего разработчика, хотя цифровая подпись отличалась. Специалисты уже уведомили площадки о наличии заражённых версий. Исследователи выявили три основных типа модификаций: с внедрением в основной исполняемый файл, с загрузкой через LSPatch и с отдельным DEX-файлом, размещённым в ресурсах приложения. Независимо от варианта, троян активируется при запуске мессенджера и не мешает его работе, сохраняя внешний вид оригинального Telegram X. Вредоносный код может подменять методы мессенджера или внедрять новые функции с помощью Xposed. Например, он способен подделывать окна с фишинговыми сообщениями, прятать отдельные чаты и устройства, а также перехватывать содержимое буфера обмена. Особое внимание специалисты уделили нестандартной системе управления. Помимо привычного C2-сервера, Android.Backdoor.Baohuo.1.origin получает команды через базу данных Redis — это первый зафиксированный случай использования такой технологии в Android-угрозах. Через Redis передаются настройки, команды и информация о заражённых устройствах. При этом предусмотрен резервный канал передачи команд через C2 на случай недоступности базы данных. Троян способен выполнять широкий спектр задач: отправлять контакты и SMS, загружать историю сообщений, получать списки устройств и токены авторизации, оформлять подписки на каналы, отключать уведомления от чатов, подменять интерфейсные элементы, скачивать обновления и даже превращать заражённое устройство в прокси-сервер. Особую угрозу представляет возможность перехвата текста из буфера обмена, поскольку в нём могут оказаться пароли, фразы восстановления криптокошельков и другие конфиденциальные данные. Таким образом, использование популярных приложений вне официальных магазинов может обернуться полной потерей контроля над личными данными и аккаунтами, особенно когда вредоносный код маскируется под привычный интерфейс и работает незаметно для владельца устройства. Устанавливайте приложения только из официальных источников и регулярно проверяйте их разрешения, чтобы избежать заражения. Хватит бороться с ложными срабатываниями! Мы покажем, как связка Security Vision и «Технологий киберугроз» создаёт «живой» контур защиты, который сам выявляет и блокирует угрозы. Реклама. 18+, ООО «Интеллектуальная безопасность», ИНН 7719435412 Поделиться новостью: Закрыть Подпишитесь на email рассылку Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru — новости, статьи, обзоры уязвимостей и мнения аналитиков. Ежедневный выпуск от SecurityLab.Ru Source: https://www.securitylab.ru/news/565087.php