Серый кардинал Baohuo. Android-бэкдор захватывает учетные записи Telegram, получая над ними полный контроль
Горячая лента угроз | О мобильных угрозах | Все новости
23 октября 2025 года
Распространение Android.Backdoor.Baohuo.1.origin началось в середине 2024 года, о чем свидетельствуют найденные при его анализе более ранние модификации. Основным способом доставки бэкдора на целевые устройства является реклама внутри мобильных приложений. Потенциальным жертвам демонстрируются объявления, в которых предлагается установить мессенджер Telegram X. При нажатии на баннер пользователи перенаправляются на вредоносные сайты, с которых и происходит загрузка троянского APK.
Эти сайты оформлены в стиле магазина приложений, а сам мессенджер позиционируется на них как площадка для удобного поиска партнера для общения и свиданий. Об этом говорят как баннеры с наложенным на них рекламным текстом о «бесплатных видеочатах» и с приглашениями «поговорить» (например, под видом скриншотов окна видеовызова), так и сочиненные злоумышленниками отзывы якобы довольных пользователей. Отметим, что на веб-страницах предусмотрена возможность выбора языка оформления, однако сами изображения при этом не меняются.
Один из вредоносных сайтов, с которых загружается троянская версия Telegram X. Потенциальным жертвам предлагается установить программу, где согласно «отзывам», легко найти партнера для общения и свиданий
В настоящее время киберпреступники подготовили типовые шаблоны с баннерами только для двух языков: португальского с ориентиром на пользователей из Бразилии, а также индонезийского. Таким образом, жители Бразилии и Индонезии являются главной целью для атакующих. В то же время нельзя исключать, что со временем интерес злоумышленников распространится и на пользователей из других стран.
Изучение сетевой инфраструктуры атакующих позволило определить масштаб их деятельности. В среднем вирусные аналитики «Доктор Веб» наблюдают порядка 20 000 активных подключений Android.Backdoor.Baohuo.1.origin. При этом общее число зараженных устройств превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.
Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin (по данным антивирусной лаборатории «Доктор Веб»)
Однако Android.Backdoor.Baohuo.1.origin распространяется не только через вредоносные сайты: наши специалисты обнаружили его и в сторонних каталогах Android-приложений — например, APKPure, ApkSum и AndroidP. При этом в магазине APKPure он размещен от имени официального разработчика мессенджера, несмотря на то, что цифровые подписи оригинала и троянской модификации отличаются. Мы уведомили онлайн-площадки, в которых были найдены троянские версии Telegram X.
Модифицированный Telegram X с внедренным Android.Backdoor.Baohuo.1.origin распространялся в APKPure от имени настоящего разработчика мессенджера
Антивирусная лаборатория «Доктор Веб» выявила несколько разновидностей Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:
- версии, в которых злоумышленники встроили бэкдор в основной исполняемый DEX-файл мессенджера;
- версии, в которых бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch;
- версии, в которых бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически.
Независимо от типа модификации Android.Backdoor.Baohuo.1.origin инициализируется при запуске самого мессенджера. Тот остается работоспособным и для пользователей выглядит как обычная программа. Однако в действительности злоумышленники через бэкдор полностью его контролируют и даже могут изменять логику его работы.
Когда киберпреступникам необходимо выполнить действие, которое не требует вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» необходимых методов приложения. Например, с их помощью могут отображаться фишинговые сообщения в окнах, которые внешне не будут отличаться от настоящих окон Telegram X.
Методы — это отдельные блоки кода в структуре Android-приложений, которые отвечают за выполнение тех или иных задач.
Если же действие не является стандартным для программы, то используется фреймворк Xposed, который непосредственно меняет ту или иную функциональность мессенджера через динамическую модификацию методов. В частности, с его помощью скрываются определенные чаты и авторизованные устройства, а также перехватывается содержимое буфера обмена.
Основное отличие ранних версий вредоносного приложения от актуальных — в организации управления трояном. В старых модификациях связь со злоумышленниками и получение от них заданий реализованы традиционным способом — через C2-сервер. Однако со временем вирусописатели добавили в Android.Backdoor.Baohuo.1.origin возможность отправки дополнительных команд через базу данных Redis, расширив тем самым его функциональность и обеспечив двумя независимыми каналами управления. При этом они предусмотрели дублирование новых команд и через обычный C2-сервер на случай, если база окажется недоступной. Это первый известный факт применения Redis для управления вредоносным ПО для Android.
Во время запуска Android.Backdoor.Baohuo.1.origin соединяется с начальным C2-сервером для загрузки конфигурации, которая среди прочего содержит данные для подключения к Redis. Через эту базу данных злоумышленники не только отправляют определенные команды вредоносному приложению, но и обновляют настройки трояна. В том числе они назначают адрес текущего C2-сервера, а также NPS-сервера. Последний вирусописатели используют для подключения зараженных устройств к своей внутренней сети (интранету) и превращения их в прокси для выхода в интернет.
Android.Backdoor.Baohuo.1.origin периодически связывается с C2-сервером через API-вызовы и может получать следующие задания:
- загрузить на C2-сервер входящие СМС и контакты из телефонной книги зараженного устройства;
- отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возвращении в его окно;
- получить от C2-сервера интернет-адреса для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла;
- получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена;
- запросить группу команд на сбор информации об установленных на устройстве приложениях, истории сообщений, контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется с интервалом в 30 минут);
- запросить у C2-сервера ссылку для скачивания обновления Telegram X;
- запросить у C2-сервера конфигурацию, которая сохраняется в виде JSON-файла;
- запросить информацию о базе данных Redis;
- загрузить на C2-сервер информацию об устройстве при каждой сетевой активности мессенджера;
- получить с C2-сервера список ботов, которые затем добавляются в список контактов Telegram;
- каждые 3 минуты передавать на сервер информацию о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номер мобильного телефона с именем и паролем от учетной записи Telegram;
- каждую минуту запрашивать команды в формате, аналогичном командам от базы данных Redis.
Для получения команд через Redis Android.Backdoor.Baohuo.1.origin подключается к соответствующему серверу злоумышленников, где регистрирует свой подканал — к нему в дальнейшем подключаются киберпреступники. Они публикуют в нем задания, которые бэкдор затем исполняет. Вредоносная программа может получать следующие команды:
- создать черный список чатов, которые не будут отображаться пользователю в окне Telegram X;
- скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи;
- заблокировать на заданное время отображение уведомлений от чатов из созданного черного списка;
- показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт;
- отправить на C2-сервер информацию обо всех установленных приложениях;
- сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram;
- показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его);
- убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя;
- загрузить на C2-сервер информацию из баз данных Telegram X, в которых хранится история чатов, сообщения и другие конфиденциальные данные;
- подписать пользователя на заданный Telegram-канал;
- покинуть заданный Telegram-канал;
- вступить от лица пользователя в Telegram-чат по указанной ссылке;
- получить список устройств, на которых выполнена авторизация в Telegram;
- запросить получение токена аутентификации пользователя и передать его на С2-сервер.
Отметим, что перехват данных из буфера обмена, когда пользователь сворачивает мессенджер и снова возвращается в его окно, позволяет реализовывать различные сценарии кражи конфиденциальных данных. Например, жертва может скопировать пароль или мнемоническую фразу для входа в криптокошелек, текст важного документа для отправки бизнес-партнерам по почте и т. д., а троян перехватит оставшиеся в буфере данные и передаст злоумышленникам.
Dr.Web Security Space для мобильных устройств успешно обнаруживает и удаляет известные версии бэкдора Android.Backdoor.Baohuo.1.origin, поэтому для наших пользователей он опасности не представляет.
Подробнее об Android.Backdoor.Baohuo.1.origin
Индикаторы компрометации