Investigadores de Doctor Web han documentado un nuevo backdoor para Android, denominado Baohuo (Android.Backdoor.Baohuo.1.origin), que se propaga a través de builds modificadas de Telegram X. El malware mantiene operativo el mensajero para no levantar sospechas, pero obtiene privilegios ampliados: robo de credenciales y chats, ocultación de sesiones activas y control silencioso de acciones en nombre del usuario. La campaña ya habría comprometido más de 58.000 dispositivos, con alrededor de 20.000 conexiones activas observadas en un momento dado.
Capacidades y técnicas de evasión del backdoor Baohuo
La pieza maliciosa se integra de forma profunda con Telegram X para manipular la experiencia del usuario sin delatarse. Puede unirse o abandonar chats y canales, e incluso agregar o expulsar usuarios, camuflando estas operaciones en la interfaz. Un rasgo crítico es que oculta conexiones de dispositivos de terceros en el apartado de sesiones activas de Telegram, reduciendo la probabilidad de detección por parte del titular de la cuenta.
Intercepción del portapapeles y robo de secretos
Baohuo utiliza dos mecanismos complementarios. Primero, “espeja” métodos del propio cliente para mostrar ventanas de phishing indistinguibles de los diálogos legítimos. Segundo, se apoya en el framework Xposed para modificar dinámicamente métodos: oculta chats y dispositivos autorizados e intercepta el contenido del portapapeles. Este último vector eleva el riesgo de exfiltración de contraseñas, códigos OTP, seed phrases de criptomonedero y fragmentos de documentos sensibles, especialmente cuando el usuario regresa a la ventana del mensajero y pega información crítica.
Cadena de distribución: malvertising y repositorios APK de terceros
La campaña, activa desde mediados de 2024, explota malvertising en apps móviles para redirigir a páginas que simulan tiendas de aplicaciones, donde Telegram X se promociona como plataforma de citas y mensajería. Los operadores han empleado plantillas lingüísticas para los mercados portugués (con foco en Brasil) e indonesio, con posibilidad de expansión geográfica.
Además de sitios de phishing, las variantes se han detectado en APKPure, ApkSum y AndroidP. En APKPure, el paquete malicioso aparecía bajo el nombre del desarrollador oficial, aunque las firmas digitales no coincidían, un indicador claro de manipulación. Según los investigadores, las plataformas afectadas ya han sido notificadas.
Infraestructura de mando y control: C2 clásico reforzado con Redis
Las primeras variantes se comunicaban con un C2 tradicional. Las más recientes añaden un canal secundario mediante Redis, algo poco habitual en amenazas Android. Baohuo descarga desde el C2 inicial su configuración, que incluye parámetros para Redis, direcciones del C2 vigente y de un servidor NPS utilizado para construir una red interna y convertir dispositivos en proxies. La operatoria via Redis sigue un esquema pub/sub: el backdoor se suscribe a subcanales donde recibe órdenes. Si Redis no está disponible, el tráfico y las tareas se replican vía el C2 estándar, reforzando la resiliencia de la infraestructura.
Impacto y alcance de la campaña
La telemetría sugiere compromiso en aproximadamente 3.000 modelos de dispositivos, que abarcan smartphones, tabletas, TV boxes y sistemas de infoentretenimiento en vehículos. Esta diversidad dificulta los controles basados en firmas o perfiles. Para usuarios y empresas, los riesgos incluyen secuestro de cuentas de Telegram con actividad encubierta, fuga de conversaciones y robo de credenciales o criptoactivos. Los operadores podrían monetizar tanto con inflado de suscriptores en canales como con fraude financiero y campañas de ingeniería social desde cuentas comprometidas.
Medidas de mitigación y recomendaciones
Instalación segura: descarga apps únicamente desde tiendas confiables. Evita APK de sitios de terceros y los atajos de “instalación rápida” vía anuncios.
Verificación de integridad: comprueba desarrollador y firmas antes de instalar, incluso en catálogos conocidos. Cualquier discrepancia es motivo para cancelar.
Menor privilegio: limita permisos sensibles como acceso al portapapeles, superposición sobre otras apps y servicios de accesibilidad.
Higiene de cuenta en Telegram: activa la 2FA, revisa periódicamente Sesiones activas y cierra las sospechosas. Cambia contraseña y código de bloqueo ante cualquier indicio.
Defensa en profundidad: mantén Android actualizado, habilita Play Protect, aplica políticas MDM en flotas, utiliza soluciones antimalware y monitoriza tráfico de red. Si detectas actividad anómala, aísla el terminal y realiza una reinstalación limpia validando copias de seguridad.
Baohuo confirma la evolución del malware móvil: integración estrecha con apps legítimas, sigilo en la interfaz y empleo de Redis como canal C2 alternativo. La combinación de hábitos de instalación seguros, controles de cuenta y 2FA, junto con MDM e IOCs en entornos corporativos, es clave para reducir superficie de ataque. Mantente informado, audita tus dispositivos con regularidad y prioriza la verificación de procedencia e integridad antes de instalar cualquier APK.
