Команда Doctor Web зафіксувала новий бекдор для Android — Baohuo (Android.Backdoor.Baohuo.1.origin), що поширюється через модифіковані збірки Telegram X. Шкідливий додаток зберігає повну функціональність месенджера, проте отримує розширені можливості: викрадає облікові дані та листування, приховує сторонні підключення в переліку активних сесій і може непомітно виконувати дії від імені користувача. За телеметрією дослідників, заражено понад 58 000 пристроїв, а під час моніторингу одночасно спостерігалося близько 20 000 активних під’єднань до інфраструктури зловмисників.
Що таке Baohuo і як він інтегрується в Telegram X
Ключова особливість Baohuo — глибоке вбудовування в логіку Telegram X. Малвар дозволяє вступати та виходити з чатів, додавати/виключати з каналів, маскуючи ці операції в інтерфейсі, щоб користувач не помітив сторонньої активності свого акаунта.
Приховування активних сесій
Baohuo здатен не відображати підключення сторонніх пристроїв у списку активних сесій Telegram. Це ускладнює виявлення компрометації, адже стандартна перевірка безпеки користувачем не показує повної картини.
Динамічні модифікації через Xposed
Щоб підміняти поведінку месенджера, загроза використовує «дзеркала» методів і фреймворк Xposed для динамічного перехоплення викликів. Такий підхід дає змогу ховати чати та авторизовані пристрої, а також змінювати відображення системних діалогів, підсовуючи фішингові вікна, візуально невідрізні від оригінальних.
Перехоплення буфера обміну
Окремий ризик — доступ до буфера обміну: під час повернення у вікно месенджера Baohuo може зчитати паролі, одноразові коди (OTP), seed-фрази криптогаманців або фрагменти конфіденційних документів.
Канали поширення: malvertising та сторонні каталоги APK
Кампанія стартувала в середині 2024 року й активно використовує рекламні оголошення в мобільних застосунках (malvertising). Перехід за банером веде на сайти, стилізовані під магазини застосунків, де підроблений Telegram X просувають як платформу для знайомств і спілкування. Оператори застосовують мовні шаблони для португальської (з фокусом на Бразилію) та індонезійської аудиторій, але географія може розширюватися.
Крім фішингових сторінок, Baohuo виявлено у сторонніх маркетплейсах APK, зокрема APKPure, ApkSum і AndroidP. На APKPure шкідливе ПЗ поширювали під іменем офіційного розробника, однак цифровий підпис не збігався з оригінальним. За повідомленнями дослідників, платформи сповіщено про інцидент.
Командні сервери та C2: Redis як нетиповий канал
Ранні модифікації Baohuo працювали з класичним C2-сервером. В актуальних версіях додано додатковий канал керування через базу даних Redis — для Android-загроз це рідкісний підхід. Конфігурацію (включно з параметрами доступу до Redis, адресами актуального C2 та NPS-сервера для створення внутрішньої мережі і перетворення заражених пристроїв на інтернет-проксі) завантажують із початкового C2.
Redis застосовується у моделі публікації-підписки: Baohuo підписується на підканали, куди оператори надсилають завдання. Така резервована архітектура підвищує стійкість інфраструктури — якщо Redis недоступний, команди дублюються через основний C2.
Масштаб атаки та ризики для користувачів і бізнесу
За телеметрією, компрометація торкнулася приблизно 3 000 моделей пристроїв — від смартфонів і планшетів до ТВ-приставок і бортових систем авто на Android. Різноманітність апаратних профілів ускладнює блокування за сигнатурами.
Практичні наслідки включають перехоплення Telegram-акаунта, тіньову активність від імені користувача, викрадення листування та секретів з буфера обміну. Імовірні цілі — накрутка аудиторії каналів, крадіжка криптоактивів і облікових записів. Для організацій це загрожує витоком внутрішньої комунікації, репутаційними збитками та атаками соціальної інженерії з використанням скомпрометованих акаунтів співробітників.
Як захиститися від Baohuo та подібних Android-загроз
Встановлюйте застосунки лише з перевірених джерел і уникайте швидких «інсталяцій» за рекламними банерами. Звіряйте підписи та видавця навіть у популярних каталогах: невідповідність — сигнал відмовитися від інсталяції.
Обмежуйте дозволи на доступ до буфера обміну, накладення поверх інших вікон і служб доступності. Увімкніть двофакторну автентифікацію в Telegram, регулярно перевіряйте активні сесії, при підозрі — завершуйте всі та змінюйте пароль і код-пароль.
Підтримуйте актуальність ОС і засобів захисту: використовуйте Play Protect або MDM, сучасні антивірусні рішення та моніторинг мережевої активності. Для керованих парків пристроїв впроваджуйте політики MDM, контроль індикаторів компрометації, а за виявлення підозрілої активності — ізолюйте пристрій і виконайте повне перевстановлення з перевіркою резервних копій.
Baohuo демонструє еволюцію мобільних загроз: глибинну інтеграцію з легітимним застосунком, інтерфейсну прихованість і багатоканальне C2 на базі Redis. Щоб знизити ризики, дотримуйтесь гігієни інсталяцій, використовуйте 2FA та регулярно аудіюйте сесії. Бізнесу варто посилити контроль мобільного флоту й навчання користувачів — це інвестиція, що напряму зменшує ймовірність інцидентів і їхню вартість.
