Скрытая угроза Baohuo. Андроид-троян перехватывает аккаунты Telegram, устанавливая абсолютное господство над ними
Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000
Распространение Android.Backdoor.Baohuo.1.origin началось в середине 2024 года, о чем свидетельствуют найденные при его анализе более ранние модификации. Основным способом доставки бэкдора на целевые устройства является реклама внутри мобильных приложений. Потенциальным жертвам демонстрируются объявления, в которых предлагается установить мессенджер Telegram X. При нажатии на баннер пользователи перенаправляются на вредоносные сайты, с которых и происходит загрузка троянского APK.
Эти сайты оформлены в стиле магазина приложений, а сам мессенджер позиционируется на них как площадка для удобного поиска партнера для общения и свиданий. Об этом говорят как баннеры с наложенным на них рекламным текстом о «бесплатных видеочатах» и с приглашениями «поговорить» (например, под видом скриншотов окна видеовызова), так и сочиненные злоумышленниками отзывы якобы довольных пользователей. Отметим, что на веб-страницах предусмотрена возможность выбора языка оформления, однако сами изображения при этом не меняются.
Один из вредоносных сайтов, с которых загружается троянская версия Telegram X. Потенциальным жертвам предлагается установить программу, где согласно «отзывам», легко найти партнера для общения и свиданий
В настоящее время киберпреступники подготовили типовые шаблоны с баннерами только для двух языков: португальского с ориентиром на пользователей из Бразилии, а также индонезийского. Таким образом, жители Бразилии и Индонезии являются главной целью для атакующих. В то же время нельзя исключать, что со временем интерес злоумышленников распространится и на пользователей из других стран.
Изучение сетевой инфраструктуры атакующих позволило определить масштаб их деятельности. В среднем вирусные аналитики «Доктор Веб» наблюдают порядка 20 000 активных подключений Android.Backdoor.Baohuo.1.origin. При этом общее число зараженных устройств превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.
Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin (по данным антивирусной лаборатории «Доктор Веб»)
Однако Android.Backdoor.Baohuo.1.origin распространяется не только через вредоносные сайты: наши специалисты обнаружили его и в сторонних каталогах Android-приложений — например, APKPure, ApkSum и AndroidP. При этом в магазине APKPure он размещен от имени официального разработчика мессенджера, несмотря на то, что цифровые подписи оригинала и троянской модификации отличаются. Мы уведомили онлайн-площадки, в которых были найдены троянские версии Telegram X.
Модифицированный Telegram X с внедренным Android.Backdoor.Baohuo.1.origin распространялся в APKPure от имени настоящего разработчика мессенджера
Антивирусная лаборатория «Доктор Веб» выявила несколько разновидностей Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:
- версии, в которых злоумышленники встроили бэкдор в основной исполняемый DEX-файл мессенджера;
- версии, в которых бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch;
- версии, в которых бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически.
Независимо от типа модификации Android.Backdoor.Baohuo.1.origin инициализируется при запуске самого мессенджера. Тот остается работоспособным и для пользователей выглядит как обычная программа. Однако в действительности злоумышленники через бэкдор полностью его контролируют и даже могут изменять логику его работы.
Когда киберпреступникам необходимо выполнить действие, которое не требует вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» необходимых методов приложения. Например, с их помощью могут отображаться фишинговые сообщения в окнах, которые внешне не будут отличаться от настоящих окон Telegram X.
Методы — это отдельные блоки кода в структуре Android-приложений, которые отвечают за выполнение тех или иных задач.
Если же действие не является стандартным для программы, то используется фреймворк Xposed, который непосредственно меняет ту или иную функциональность мессенджера через динамическую модификацию методов. В частности, с его помощью скрываются определенные чаты и авторизованные устройства, а также перехватывается содержимое буфера обмена.
Основное отличие ранних версий вредоносного приложения от актуальных — в организации управления трояном. В старых модификациях связь со злоумышленниками и получение от них заданий реализованы традиционным способом — через C2-сервер. Однако со временем вирусописатели добавили в Android.Backdoor.Baohuo.1.origin возможность отправки дополнительных команд через базу данных Redis, расширив тем самым его функциональность и обеспечив двумя независимыми каналами управления. При этом они предусмотрели дублирование новых команд и через обычный C2-сервер на случай, если база окажется недоступной. Это первый известный факт применения Redis для управления вредоносным ПО для Android.
Во время запуска Android.Backdoor.Baohuo.1.origin соединяется с начальным C2-сервером для загрузки конфигурации, которая среди прочего содержит данные для подключения к Redis. Через эту базу данных злоумышленники не только отправляют определенные команды вредоносному приложению, но и обновляют настройки трояна. В том числе они назначают адрес текущего C2-сервера, а также NPS-сервера. Последний вирусописатели используют для подключения зараженных устройств к своей внутренней сети (интранету) и превращения их в прокси для выхода в интернет.
Android.Backdoor.Baohuo.1.origin периодически связывается с C2-сервером через API-вызовы и может получать следующие задания:
- загрузить на C2-сервер входящие СМС и контакты из телефонной книги зараженного устройства;
- отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возвращении в его окно;
- получить от C2-сервера интернет-адреса для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла;
- получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена;
- запросить группу команд на сбор информации об установленных на устройстве приложениях, истории сообщений, контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется с интервалом в 30 минут);
- запросить у C2-сервера ссылку для скачивания обновления Telegram X;
- запросить у C2-сервера конфигурацию, которая сохраняется в виде JSON-файла;
- запросить информацию о базе данных Redis;
- загрузить на C2-сервер информацию об устройстве при каждой сетевой активности мессенджера;
- получить с C2-сервера список ботов, которые затем добавляются в список контактов Telegram;
- каждые 3 минуты передавать на сервер информацию о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номер мобильного телефона с именем и паролем от учетной записи Telegram;
- каждую минуту запрашивать команды в формате, аналогичном командам от базы данных Redis.
Для получения команд через Redis Android.Backdoor.Baohuo.1.origin подключается к соответствующему серверу злоумышленников, где регистрирует свой подканал — к нему в дальнейшем подключаются киберпреступники. Они публикуют в нем задания, которые бэкдор затем исполняет. Вредоносная программа может получать следующие команды:
- создать черный список чатов, которые не будут отображаться пользователю в окне Telegram X;
- скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи;
- заблокировать на заданное время отображение уведомлений от чатов из созданного черного списка;
- показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт;
- отправить на C2-сервер информацию обо всех установленных приложениях;
- сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram;
- показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его);
- убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя;
- загрузить на C2-сервер информацию из баз данных Telegram X, в которых хранится история чатов, сообщения и другие конфиденциальные данные;
- подписать пользователя на заданный Telegram-канал;
- покинуть заданный Telegram-канал;
- вступить от лица пользователя в Telegram-чат по указанной ссылке;
- получить список устройств, на которых выполнена авторизация в Telegram;
- запросить получение токена аутентификации пользователя и передать его на С2-сервер.
Отметим, что перехват данных из буфера обмена, когда пользователь сворачивает мессенджер и снова возвращается в его окно, позволяет реализовывать различные сценарии кражи конфиденциальных данных. Например, жертва может скопировать пароль или мнемоническую фразу для входа в криптокошелек, текст важного документа для отправки бизнес-партнерам по почте и т. д., а троян перехватит оставшиеся в буфере данные и передаст злоумышленникам.
Dr.Web Security Space для мобильных устройств и
Dr.Web Mobile Security Suite успешно обнаруживают и удаляют известные версии бэкдора Android.Backdoor.Baohuo.1.origin, поэтому для пользователей он опасности не представляет.
✔
Купить (LBM-*) Dr.Web Mobile Security Suite (Защита мобильных устройств и планшетов)
✔
Купить Dr.Web Security Space для мобильных устройств (LHM-BK-*). Защита мобильных устройств, планшетов и Smart TV
Android.Backdoor.Baohuo.1.origin
Добавлен в вирусную базу Dr.Web: 2025-08-01
Описание добавлено: 2025-10-23
sha1:
4410f69099a037a25e5976df04a91cee7dbfac14 (org.thunderdog.challegram)
Описание
Бэкдор для устройств на базе ОС Android, который злоумышленники встроили в копию оригинальной версии мессенджера Telegram X. Он выполняет команды атакующих, позволяет похищать конфиденциальные данные жертв и получать полный контроль над их учетными записями Telegram. Android.Backdoor.Baohuo.1.origin распространяется через вредоносные сайты, он также был найден в ряде сторонних каталогов Android-программ.
Принцип действия
Существует несколько версий Android.Backdoor.Baohuo.1.origin, которые отличаются способом внедрения в Telegram X. Основные типы модификаций:
- бэкдор встроен в главный исполняемый DEX-файл мессенджера;
- бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch;
- бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически.
Во всех модификациях вызов метода инициализации вредоносного кода расположен в классе ApplicationLoader, поэтому Android.Backdoor.Baohuo.1.origin запускается непосредственно при запуске мессенджера. При этом сама программа сохраняет работоспособность и для пользователя выглядит безобидной.
Взаимодействие с Telegram X
Android.Backdoor.Baohuo.1.origin способен менять функциональность Telegram X на уровне кода, используя фреймворк Xposed и подготовленные злоумышленниками зеркала методов мессенджера. Когда бэкдору необходимо выполнить нестандартное для программы действие (например, скрыть в ее интерфейсе определенные чаты или авторизованные устройства), применяется фреймворк, который динамически меняет функциональность методов.
Если же действие не требует вмешательства в логику работы программы, используются только одни зеркала.
Пример зеркала:
com.ucreator.tgjar.reflect.mirror.org.telegram.tgnet.TLRPC.TL_inputChannel
Для вызова нужного метода Android.Backdoor.Baohuo.1.origin формирует его имя, используя следующий алгоритм:
1. Считывается имя пакета зеркала, которое идет после mirror (для примера выше результатом будет org.telegram.tgnet);
2. Считывается имя зеркалируемого класса (для примера выше результатом будет TLRPC.TL_inputChannel);
3. Итоговое имя возвращается при помощи метода getName() зеркала путем добавления второй строки к первой: org.telegram.tgnet.TLRPC.TL_inputChannel.
Затем с помощью рефлексии создается объект этого метода (выполняется вызов метода).
Организация управления
Команды отдаются бэкдору двумя способами:
- через C2-сервер;
- через базу данных Redis.
В более ранних версиях Android.Backdoor.Baohuo.1.origin управление выполнялось только через C2-сервер.
Команды и ответы на них передаются в формате JSON.
Android.Backdoor.Baohuo.1.origin имеет встроенную конфигурацию, где среди прочего заданы адреса:
- C2-сервера;
- базы данных Redis;
- NPS-сервера.
При запуске бэкдор получает обновленную конфигурацию с текущего C2-сервера, которую он затем использует для соединения с базой данных Redis злоумышленников. После подключения к нему троян получает актуальные адреса C2-сервера и NPS-сервера.
Для связи с C2-сервером и NPS-сервером используются протоколы HTTP и HTTPS.
NPS-сервер
NPS-сервер используется для подключения зараженных устройств к внутренней (интранет) сети злоумышленников, что позволяет превратить устройства в прокси для доступа к интернету и перенаправления трафика. Сеть построена на базе проекта github. com/ehang-io/ nps, а в сам бэкдор добавлена соответствующая клиентская часть.
Для запуска NPS-клиента Android.Backdoor.Baohuo.1.origin запрашивает с сервера sdk-nps[.]ips5[.]info конфигурацию с параметрами для подключения к NPS-серверу. На момент анализа бэкдор не выполнял подключение к серверу и получал только тестовую конфигурацию:
{
"msg": "\u64cd\u4f5c\u6210\u529f",
"authKey": "TestAuthKey",
"password": "123456",
"code": 0,
"port": "8090",
"ip": "172[.]10.10[.]10",
"user": "user"
}
C2-сервер
Связь бэкдора с C2-сервером (hpncallback[.]gold5play[.]com) реализована через API-вызовы. С их помощью он передает злоумышленникам собираемую конфиденциальную информацию и сообщает об успешном выполнении команд.
Используются следующие API-вызовы:
/api/AppCallback/SMS — загрузить на C2-сервер входящие СМС;
/api/AppCallback/Contacts — загрузить на C2-сервер контакты из телефонной книги;
/api/Callback/EncryptionData — отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возврате в его окно (для отслеживания события перехватывается метод onResume приложения);
/api/Callback/GetLoadParams — получить от C2-сервера URL для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла;
/api/Callback/GetSecretKey — получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена;
/api/Callback/TgCheckReportDataCallback — запросить группу команд для сбора информации об установленных приложениях, об истории сообщений, о контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется каждые 30 минут);
/api/Callback/TgCheckUpdateApp — запросить у C2-сервера ссылку для скачивания обновления Telegram X. После установки обновления вызывается /api/Callback/TgInstallEventCallback для информирования об успешном выполнении задачи;
/api/Callback/TgKeepAliveStrategyCallback — запросить у C2-сервера конфигурацию, которая сохраняется в виде JSON-файла. Пример:
{"switch1":false,"switch2":false,"switch3":true,"switch4":true,"switch5":false,"intervalTime":3
0}
Троян использует только переменную intervalTime, которая определяет, через какое время конфигурация будет запрошена повторно;
/api/Callback/TgRedisStatusChange — запросить информацию о базе данных Redis;
/api/Callback/TgRegisterPropertyCallback — загрузить на C2-сервер информацию об устройстве (выполняется каждый раз, когда мессенджер отправляет сетевые пакеты);
/api/Xcallback/GetRobots — получить с C2-сервера список ботов, которые затем добавляются в список контактов Telegram;
/api/callback/TgHeartCallback — вызывается каждые 3 минуты для передачи на сервер информации о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номера мобильного телефона с именем и паролем от учетной записи Telegram;
/api/callback/TgGetTask — вызывается каждую минуту для запроса команды в формате, аналогичном командам от Redis.
Управление через Redis
Для получения команд через Redis Android.Backdoor.Baohuo.1.origin подключается к соответствующему серверу злоумышленников (159[.]138.237[.]10:33619), где регистрирует свой подканал, привязанный к зараженному устройству.
Злоумышленники подключаются к этому подканалу и публикуют в нем задания, которые бэкдор затем исполняет. Поддерживаемые команды:
/tg/hideChats/setBlackList и /tg/hideChats/getBlackList — создать черный список чатов, которые не будут отображаться пользователю в интерфейсе Telegram X;
/tg/hideDevice/setDeviceBlackList и /tg/hideDevice/getDeviceBlackList — скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи;
/tg/serviceNotifications/startBlock и /tg/serviceNotifications/queryBlock — заблокировать на заданное время отображение уведомлений от чатов, указанных в черном списке setBlackList;
/tg/dialog/showUpdateApp — показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт;
/tg/query/allPackages — отправить на C2-сервер информацию обо всех установленных приложениях;
/tg/terminated/session — сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram;
/tg/dialog/showInstallApp — показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его);
/tg/hidePremium/setFlag и /tg/hidePremium/getFlag — убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя;
/tg/db/queryContactsByUsers — загрузить на C2-сервер информацию из базы данных Telegram X, в которой хранятся контакты пользователя;
/tg/db/queryDialogsByChats — автоматически загрузить на C2-сервер информацию из базы данных Telegram X, в которой хранится история сообщений;
/tg/db/messagesStorageRawQuery — в соответствии с указанными в команде SQL-запросами загрузить на C2-сервер информацию из базы данных Telegram X, в которой хранится история сообщений;
/tg/channel/join — подписать пользователя на заданный Telegram-канал;
/tg/channel/leaveChannel — покинуть заданный Telegram-канал;
/tg/channel/addByLink — вступить от лица пользователя в Telegram-канал по указанной ссылке;
/tg/settings/getDevices — получить список устройств, на которых выполнена авторизация в Telegram;
/tg/captcha/token — запросить получение токена аутентификации пользователя и передать его на С2-сервер.
Пример команды:
{"cmd":20000,"path":"/tg/captcha/token","serial_no":"5228e35ac6834e57856a230e507b4b94","callback":"hxxps[:]//hpncallback[.]gold5play[.]com/api/callback/TgCommandCallback","param":{"key_id":"6LflQ8EqAAAAAE3JaczP-gBVVObsFsSe2U7yZJ6O","action":"signup","currentAccount":0,"resultType":0}
Если значение переменной cmd отличается от 20000, команда не будет выполнена.
Значение переменной serial_no является серийным номером команды, который сохраняется перед ее исполнением. Если команда с таким номером уже приходила, устанавливается флаг duplicate, и соответствующая информация отправляется на C2-сервер через API-вызов /api/callback/TgReceptionCommandCallback вместе с информацией об устройстве. Таким образом, переменная используется для информирования об успешном получении бэкдором задания.
Значение переменной path является именем команды. Каждая команда привязана к определенному классу, и, в зависимости от этого имени, бэкдор использует нужный класс.
Значение переменной param представляет собой JSON-объект с параметрами для объекта необходимого класса.
Значение переменной callback — адрес сервера, на который после выполнения команды будет отправлен пакет, информирующий об успехе выполнения команды.
Материал подготовлен:
«Доктор Веб»
Ваши контактные данные не публикуются на сайте.