Forscher von Dr.Web haben mit Baohuo (Android.Backdoor.Baohuo.1.origin) eine neue Android-Hintertür dokumentiert, die sich über modifizierte Builds von Telegram X verbreitet. Der Backdoor erhält erweiterte Rechte, während die Messenger-Funktionalität erhalten bleibt. Nach Telemetrie-Hinweisen sind bereits über 58.000 Geräte kompromittiert; zeitweise wurden rund 20.000 aktive Verbindungen zum C2 beobachtet.
Funktionen und Angriffsoberfläche: Tiefintegration in Telegram X
Baohuo ist eng in Telegram X integriert und kann Nutzer in Kanäle aufnehmen oder entfernen sowie Chats beitreten und verlassen, ohne dass diese Aktionen im Interface sichtbar erscheinen. Eine zentrale Fähigkeit ist das Verbergen verbundener Sitzungen in der Telegram-Liste aktiver Geräte, was die Erkennung einer Kompromittierung erheblich erschwert.
UI-Manipulation, Xposed-Hooks und Datenabgriff
Zur Verhaltensänderung nutzt Baohuo zwei Ansätze: Erstens spiegelt der Schadcode App-Methoden, um täuschend echte Phishing-Dialoge anzuzeigen, die den Originalfenstern von Telegram X visuell entsprechen. Zweitens manipuliert der Xposed-Framework-Einsatz zur Laufzeit App-Methoden, um Chats und autorisierte Geräte zu verstecken und den Zwischenablage-Inhalt abzugreifen. Dadurch lassen sich beim Zurückkehren in den Messenger Passwörter, Einmalcodes, Seed-Phrasen von Krypto-Wallets oder vertrauliche Textfragmente entwenden. Obwohl Android neuere Zugriffsgrenzen für die Zwischenablage kennt, kann ein im Vordergrund laufender, modifizierter Client diese Hürden praktisch umgehen (vgl. Android-Dokumentation zu Clipboard-Einschränkungen).
Verbreitungswege: Malvertising und inoffizielle APK-Kataloge
Die Kampagne läuft seit Mitte 2024 und setzt stark auf Malvertising: In-App-Anzeigen führen auf gefälschte App-Store-Seiten, auf denen Telegram X als Dating- und Chat-Plattform beworben wird. Sprachliche Anpassungen zielen derzeit auf portugiesischsprachige Nutzer in Brasilien sowie den indonesischen Markt, eine Ausweitung ist wahrscheinlich.
Baohuo wurde zudem in APKPure, ApkSum und AndroidP gefunden. In APKPure trat die Malware unter dem Namen des offiziellen Entwicklers auf, wobei sich die digitale Signatur vom legitimen Original unterschied—ausschlaggebend für die Erkennung von Fälschungen. Betreiber der Plattformen wurden laut den Forschern informiert.
Command-and-Control: Redis als atypischer Zweitkanal
Frühe Varianten kommunizierten ausschließlich über einen klassischen C2-Server. Aktuelle Versionen nutzen zusätzlich Redis als ungewöhnlichen C2-Kanal auf Android. Der Backdoor lädt über den initialen C2 eine Konfiguration nach, die Redis-Zugangsdaten, Adressen für den aktiven C2 sowie einen NPS-Server umfasst. Letzterer dient zum Aufbau interner Netze und kann kompromittierte Geräte als Internet-Proxy einbinden.
Redis wird per Pub/Sub-Modell genutzt: Baohuo abonniert einen Kanal, über den Befehle und Policies verteilt werden. Fällt Redis aus, dienen Fallback-Mechanismen über den Standard-C2. Diese mehrkanalige Architektur erhöht die Resilienz der Infrastruktur gegenüber Störungen und Takedowns.
Risiken für Nutzer und Unternehmen
Baohuo ermöglicht eine nahezu vollständige Kontenübernahme in Telegram, inklusive verdeckter Aktionen und Exfiltration von Chats und Clipboard-Daten. Angreifer profitieren von Kanal-Botnetzen (z. B. künstliche Reichweite) sowie finanziellen Motiven durch Diebstahl von Krypto-Assets und Zugangsdaten. Unternehmensseitig drohen Reputationsschäden, Leaks sensibler Kommunikation und Social Engineering über kompromittierte Accounts. Die Infektionen betreffen etwa 3.000 Gerätemodelle—von Smartphones und Tablets bis zu TV-Boxen und Infotainmentsystemen—was klassische Signatur- und Geräteprofile unterläuft.
Empfehlungen: Prävention, Härtung und Reaktion
Nur vertrauenswürdige Quellen nutzen: Installieren Sie Apps aus offiziellen Stores; vermeiden Sie Sideloading über Werbebanner oder Drittseiten.
Signaturen und Herausgeber prüfen: Stimmen Entwicklername und Zertifikat nicht mit dem Original überein, Installation abbrechen. Prüfen Sie Hashes und Signaturen, wenn möglich.
Rechte minimieren: Vorsicht bei Zugriffen auf Zwischenablage, Overlays und Bedienungshilfen. Entziehen Sie unnötige Berechtigungen konsequent.
Telegram absichern: 2FA aktivieren, regelmäßige Kontrolle der aktiven Sitzungen und verdächtige Verbindungen sofort beenden. Passwort und Code-Sperre ändern.
Security-Stack aktuell halten: Nutzen Sie Play Protect bzw. MDM, aktualisieren Sie OS und Sicherheitslösungen, und überwachen Sie Netzwerkverkehr und verdächtige Domains/IPs. Bei Anzeichen einer Kompromittierung: Gerät isolieren, saubere Neuinstallation durchführen und Backups verifizieren.
Baohuo verdeutlicht die Reife moderner Android-Bedrohungen: tiefe App-Integration, UI-Tarnung und der Einsatz von Redis als zusätzlichem C2. Wer Installationshygiene beachtet, 2FA konsequent nutzt und Sitzungen überwacht, reduziert das Risiko erheblich. Unternehmen sollten MDM-Richtlinien durchsetzen, Telemetrie zentral auswerten und klare Incident-Response-Prozesse etablieren, um bei Verdachtsfällen schnell zu handeln.
