Вирус Baohuo в Telegram X: полная инструкция по проверке и защите от нового бэкдора, ворующего аккаунты
Ваш Telegram X может выглядеть и работать как обычно, но втайне уже выполнять команды злоумышленников. Новый бэкдор Baohuo не просто ворует данные, а незаметно превращает аккаунт в раба для накрутки подписчиков в каналах, тщательно скрывая следы взлома.
Иллюстрация — нейросеть
Кратко о главном
- Обнаружен новый бэкдор Android.Backdoor.Baohuo.1.origin, распространяемый через поддельные версии Telegram X;
- Вирус даёт злоумышленникам полный контроль над аккаунтом, включая переписку, и умеет скрывать свою активность;
- Основной путь заражения — реклама в мобильных приложениях, ведущая на сайты, маскирующиеся под магазины приложений;
- Главная цель вируса — не только кража данных, но и использование аккаунтов для накрутки подписчиков в Telegram-каналах;
- Защититься можно, скачивая приложения только из официальных источников и используя двухфакторную аутентификацию.
Специалисты по кибербезопасности из компании «Доктор Веб» сообщили об обнаружении сложной угрозы для пользователей Android — бэкдора, получившего название Android.Backdoor.Baohuo.1.origin. Это вредоносное ПО встраивается в модифицированные версии популярного клиента Telegram X и даёт атакующим практически безграничные возможности по управлению учётной записью жертвы. По оценкам экспертов, число заражённых устройств уже превысило 58 000 по всему миру.
Что известно о бэкдоре Android.Backdoor.Baohuo.1.origin?
Baohuo — это не просто очередной троян, ворующий пароли. Его архитектура выдаёт серьёзный подход разработчиков. Помимо стандартных функций, таких как кража логина, пароля и истории переписки, он обладает уникальными способностями к маскировке. Например, вирус умеет скрывать подключения со сторонних устройств в списке активных сеансов Telegram. Таким образом, даже бдительный пользователь, решивший проверить безопасность своего аккаунта, не увидит ничего подозрительного.
Ещё одной технической особенностью, которая удивила исследователей, стало использование базы данных Redis для управления заражёнными устройствами. Это нетипичное для Android-вредоносов решение, которое обеспечивает злоумышленникам более надёжный и гибкий канал для отправки команд, чем традиционные C2-серверы.
Основной вектор распространения заразы — навязчивая реклама внутри других мобильных приложений. Пользователям показывают баннеры с предложением установить улучшенную версию Telegram X, позиционируя её как площадку для общения и видео-свиданий. Клики по таким баннерам перенаправляют на сайты, искусно имитирующие дизайн магазинов приложений.
Иллюстрация — Drweb.ru
Напомним, что сейчас в самом Telegram рекламируют ещё один неофициальный клиент Telega, который у многих вызывает вопросы.
На этих страницах потенциальную жертву убеждают скачать APK-файл с помощью поддельных отзывов от «счастливых пользователей», нашедших себе пару. Примечательно, что хотя на сайтах есть переключатель языка, изображения и рекламные тексты остаются прежними, что указывает на массовый, но не слишком проработанный характер кампании. Кроме того, заражённые версии были обнаружены даже в популярных сторонних каталогах, таких как APKPure, ApkSum и AndroidP.
Не только кража данных: главная цель — превращение аккаунта в бота
Хотя Baohuo может похищать практически любые данные с устройства, включая содержимое буфера обмена, контакты и СМС, его ключевая задача — монетизация через теневой рынок услуг в Telegram. Получив контроль над аккаунтом, злоумышленники используют его для автоматического вступления в различные каналы и чаты, а также для подписки на них. Все эти действия также скрываются от владельца.
Знаете ли вы что?
Фреймворк Xposed, который этот вирус использует для динамического изменения работы Telegram X на лету, изначально создавался энтузиастами для тонкой настройки и кастомизации Android-устройств. Как и любой мощный инструмент, он попал в арсенал киберпреступников для обхода защитных механизмов приложений.
Фактически, заражённые устройства превращаются в огромную бот-сеть, которую можно использовать для искусственной накрутки показателей популярности Telegram-каналов. Это превращает жертву не просто в источник данных, но и в невольного соучастника манипуляций с аудиторией. Если у вас есть знакомые, которые любят экспериментировать с модами популярных приложений, обязательно отправьте им эту статью — это может спасти их аккаунты.
Проверяем и защищаем свой аккаунт. Что делать при обнаружении заражения?
Главный вопрос — откуда был установлен ваш Telegram X? Если это не официальный магазин Google Play или сайт Telegram, устройство находится в зоне риска. Золотое правило — загружать приложения исключительно из Google Play или с официальных сайтов разработчиков.
Если у вас появились подозрения, то необходимо просканировать устройство надёжным мобильным антивирусом. Антивирусные решения от «Доктор Веб», Kaspersky или ESET, как правило, оперативно добавляют новые угрозы в свои базы.
Хотя вирус и пытается скрыть следы, стоит проверить активные сеансы в настройках Telegram («Настройки» > «Устройства»). Любой незнакомый сеанс — повод для немедленных действий.
Двухфакторная аутентификация (2FA) кране рекомендована. Обязательно нужно включить облачный пароль в настройках Telegram («Конфиденциальность» > «Облачный пароль»). Даже если злоумышленники получат код из СМС, они не смогут войти в аккаунт без этого пароля.
Стоит также помнить, что предложения скачать «улучшенную» или «специальную» версию популярного приложения очень часто являются уловкой для распространения вредоносного ПО.
Иллюстрация — нейросеть
Что это значит для нас?
Экономика «чёрного» SMM (накрутка подписчиков, спам) стала настолько развитой, что порождает создание всё более изощрённых инструментов для захвата реальных аккаунтов. Киберпреступники осваивают новые технологии для управления своими ботнетами, как в случае с Redis, что делает их инфраструктуру более устойчивой к обнаружению и блокировке. Теперь скачивать новые приложения стоит с ещё большей внимательностью.
Часто задаваемые вопросы
- Затронута ли официальная версия Telegram или Telegram X из Google Play?
- Нет, угроза касается только модифицированных версий, распространяемых через сторонние сайты и каталоги.
- Поможет ли двухфакторная аутентификация?
- Да, это один из самых надёжных способов защиты. Облачный пароль в Telegram не позволит злоумышленникам получить доступ к аккаунту, даже если им удастся перехватить код авторизации.
- Я удалил(а) подозрительное приложение. Теперь я в безопасности?
- Не обязательно. Удаление самого приложения — это первый и главный шаг, но некоторые вредоносные программы могут оставлять в системе свои компоненты или изменять системные настройки. После удаления крайне рекомендуется провести полную проверку устройства надёжным антивирусом, чтобы убедиться в отсутствии «хвостов».
- Почему злоумышленники выбрали именно Telegram X, а не обычный Telegram?
- Точный мотив неизвестен, но часто для модификаций выбирают приложения с открытым исходным кодом или те, чья архитектура по каким-то причинам проще для анализа и внедрения стороннего кода. Возможно, Telegram X оказался более удобной целью для интеграции вредоносных функций с помощью фреймворка Xposed, который использует данный вирус.
Источник: Drweb.ru.
💡 Есть что добавить? Пишите в комментариях!
📱 Следите за новостями: Telegram | Дзен | VK | RSS
Поговорить?
Читайте нас где удобно
Для тех, кто долистал
Ай-ти шуточка бонусом.
Android-смартфоны покупают только те, у кого хватает средств на оплату электричества. Шах и мат, эппловоды!
Пока нет комментариев. Будьте первым!