Исследователи «Доктор Веб» выявили новый бэкдор для Android — Baohuo (Android.Backdoor.Baohuo.1.origin), распространяющийся через модифицированные сборки Telegram X. Вредонос сохраняет полноценную работоспособность мессенджера, но получает расширенные привилегии: похищает учетные данные и переписку, скрывает активные сессии, а также незаметно управляет действиями от лица пользователя. По оценкам специалистов, заражено более 58 000 устройств, а в момент наблюдения фиксировалось около 20 000 активных подключений бэкдора.
Возможности Baohuo: скрытность, перехват данных и полный контроль Telegram-аккаунта
Ключевая особенность Baohuo — глубокая интеграция с Telegram X. Вредонос способен добавлять и исключать пользователя из каналов, вступать и покидать чаты, маскируя эти операции в интерфейсе. Отдельно отмечается функция скрытия подключений сторонних устройств в списке активных сессий Telegram, что усложняет обнаружение компрометации.
Для внедрения и подмены поведения используются два механизма. Во-первых, «зеркала» методов приложения позволяют отображать фишинговые окна, визуально неотличимые от оригинальных диалогов Telegram X. Во-вторых, фреймворк Xposed применяют для динамической модификации методов: скрытия чатов и авторизованных девайсов, а также перехвата содержимого буфера обмена. Последнее создает высокие риски: при возврате в окно мессенджера Baohuo может забрать пароль, одноразовый код, seed-фразу криптокошелька или фрагмент конфиденциального документа.
Векторы распространения: malvertising и сторонние каталоги APK
Кампания стартовала в середине 2024 года и активно использует рекламу в мобильных приложениях (malvertising). Баннеры ведут на сайты, стилизованные под магазины приложений, где Telegram X позиционируется как платформа для знакомств и общения. На текущем этапе операторы применяют языковые шаблоны для португальского (акцент на Бразилию) и индонезийского рынков, однако география может расшириться.
Помимо фишинговых сайтов, Baohuo обнаружен в сторонних маркетплейсах APK, включая APKPure, ApkSum и AndroidP. В APKPure вредонос распространялся под именем официального разработчика, хотя цифровые подписи оригинала и подделки не совпадали. По информации исследователей, площадки уведомлены о проблеме.
Командование и управление: Redis как нетипичный канал C2
Ранние версии Baohuo взаимодействовали с операторами через традиционный управляющий сервер (C2). В актуальных модификациях добавлен дополнительный канал через базу данных Redis — редкий для Android-угроз прием. Бэкдор загружает конфигурацию с начального C2, включая параметры подключения к Redis и адреса актуального C2 и NPS-сервера (для построения внутренней сети и превращения зараженных устройств в интернет-прокси).
Через C2 и Redis операторы отправляют команды, обновляют настройки и маршрутизируют трафик. Redis используется по модели подписки: Baohuo регистрирует подканал, куда публикуются задания. Такой «двухканальный» подход повышает устойчивость инфраструктуры: при недоступности Redis команды дублируются через обычный C2.
По данным телеметрии, компрометации затронули примерно 3 000 моделей устройств — от смартфонов и планшетов до ТВ-приставок и авто с Android-инфотейнментом. Это усложняет блокировку по сигнатурам и профилям устройств.
Риски для пользователей и бизнеса
Baohuo обеспечивает захват Telegram-аккаунта с возможностью невидимой активности, кражей переписки и секретов из буфера обмена. Практической целью операторов может быть накрутка подписчиков в каналах, а также финансовая мотивация за счет хищения криптоактивов и учетных данных. Для организаций это несет риски репутационных инцидентов, утечки конфиденциальной коммуникации и социальной инженерии от имени скомпрометированных аккаунтов.
Как защититься: проверенные практики
Устанавливайте приложения только из доверенных источников. Избегайте APK со сторонних сайтов и не переходите по рекламным баннерам «ускоренной установки».
Проверяйте подписи и разработчика. Даже в известных каталогах сверяйте издателя и сертификаты; несоответствие — повод отказаться от установки.
Ограничивайте разрешения. Будьте осторожны с доступом к буферу обмена, наложениям поверх окон и службам доступности.
Включите двухфакторную аутентификацию в Telegram. Регулярно проверяйте активные сессии и при малейших подозрениях завершайте их, меняйте пароль и код-пароль.
Обновляйте ОС и защитные средства. Используйте Play Protect/MDM, актуальные антивирусные решения и мониторинг сетевой активности.
Baohuo демонстрирует эволюцию Android-угроз: глубокую интеграцию с приложением, скрытность в интерфейсе, а также использование Redis в качестве дополнительного канала C2. В условиях масштабной кампании и широкой аппаратной экспансии критически важно соблюдать гигиену установки приложений, контролировать сессии и включать 2FA. Если вы администрируете парк устройств, внедрите политики MDM и мониторинг индикаторов компрометации, а при обнаружении подозрительной активности — изолируйте устройство и проведите полную переустановку с проверкой резервных копий.
