Антивирусная лаборатория «Доктор Веб» обнаружила масштабную кампанию по распространению троянского бэкдора Android.Backdoor.Baohuo.1.origin, который внедряется в модифицированные версии мессенджера Telegram X. Вредоносная программа не только похищает логины, пароли и историю переписки, но и предоставляет злоумышленникам полный контроль над учетной записью жертвы. Уникальной особенностью бэкдора является использование для управления базой данных Redis, что ранее не встречалось в Android-угрозах. По оценкам экспертов, общее число зараженных устройств превысило 58 000.
Описание
Кампания по распространению Android.Backdoor.Baohuo.1.origin началась в середине 2024 года, о чем свидетельствуют обнаруженные ранние модификации троянца. Основным каналом распространения стала реклама внутри мобильных приложений, где пользователям предлагается установить модифицированную версию Telegram X. При нажатии на рекламные баннеры жертвы перенаправляются на вредоносные сайты, стилизованные под магазины приложений. На этих ресурсах мессенджер позиционируется как платформа для поиска партнеров для общения и свиданий, что подтверждается скриншотами с предложениями «бесплатных видеочатов» и сфабрикованными положительными отзывами.
В настоящее время киберпреступники ориентируются primarily на пользователей из Бразилии и Индонезии, для которых подготовлены локализованные версии сайтов на португальском и индонезийском языках. Однако специалисты не исключают расширения географии атак в будущем. Помимо рекламных каналов, троянские версии Telegram X были обнаружены в сторонних каталогах приложений, включая APKPure, ApkSum и AndroidP. В частности, в APKPure вредоносное приложение размещалось от имени официального разработчика мессенджера, несмотря на различия в цифровых подписях.
Android.Backdoor.Baohuo.1.origin существует в трех основных вариантах модификации Telegram X. В первом случае бэкдор встраивается непосредственно в основной исполняемый DEX-файл мессенджера. Во втором - внедряется динамически с помощью утилиты LSPatch. Третий вариант предполагает размещение вредоносного кода в отдельном DEX-файле в каталоге ресурсов программы. Независимо от типа модификации, бэкдор активируется при запуске мессенджера, оставаясь незаметным для пользователя.
Функциональность троянца включает как стандартные методы кражи данных, так и уникальные возможности по манипуляции учетной записью Telegram. Для выполнения команд, не требующих вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» методов приложения. Для более сложных операций, таких как скрытие чатов и авторизованных устройств, задействуется фреймворк Xposed, позволяющий динамически модифицировать методы мессенджера.
Ключевым нововведением в Android.Backdoor.Baohuo.1.origin стала организация управления через базу данных Redis, что обеспечило злоумышленникам два независимых канала контроля. При запуске бэкдор соединяется с C2-сервером для получения конфигурации, включая данные для подключения к Redis. Через эту базу данных атакующие могут отправлять команды и обновлять настройки троянца, включая назначение текущих C2- и NPS-серверов.
Спектр возможностей бэкдора впечатляет своим разнообразием. Через API-вызовы к C2-серверу троянец может загружать входящие СМС, контакты телефонной книги и содержимое буфера обмена. Каждые три минуты передается информация о разрешениях приложения, состоянии устройства и учетных данных Telegram. Через Redis злоумышленники получают возможность скрывать определенные чаты и устройства, подписывать пользователя на каналы, вступать в чаты от его имени и даже сбрасывать текущую сессию авторизации.
Особую опасность представляет функция перехвата данных из буфера обмена при сворачивании и восстановлении окна мессенджера. Это позволяет злоумышленникам перехватывать пароли, мнемонические фразы криптокошельков и другую конфиденциальную информацию, которую пользователь копирует для временного хранения. Скрывая подключенные устройства и действия с каналами, бэкдор обеспечивает полную невидимость компрометации для жертвы.
Сетевой анализ показал, что в среднем наблюдается около 20 000 активных подключений Android.Backdoor.Baohuo.1.origin. Заражению подверглись aproximadamente 3 000 различных моделей устройств, включая смартфоны, планшеты, ТВ-приставки и даже автомобили с бортовыми компьютерами на базе Android. Антивирусное решение Dr.Web Security Space для мобильных устройств успешно обнаруживает и нейтрализует известные версии бэкдора, обеспечивая защиту пользователей от этой угрозы.
Обнаружение Android.Backdoor.Baohuo.1.origin демонстрирует продолжающуюся эволюцию мобильных угроз, где злоумышленники не только совершенствуют методы скрытности, но и внедряют innovative подходы к управлению вредоносной инфраструктурой. Использование Redis для координации атак подчеркивает необходимость комплексного подхода к безопасности мобильных устройств, выходящего за рамки традиционных сигнатурных методов обнаружения.
Индикаторы компрометации
IPv4 Port Combinations
- 159.138.237.10:33619
- 172.10.10.10:8090
URLs
- https://bvqie.com
- https://hpncallback.gold5play.com
- https://hpncallback.qianxun168.com
- https://sdk-nps.ips5.info
SHA1
- 4410f69099a037a25e5976df04a91cee7dbfac14
- 4673bd285e1f6c6e628fd5aa8d7d9a2293310bf5
- 6699466094cc74e31fae4a959004d70fc5d10e94
- fc4b545cce8933b32d82ab792f0f6c12099f1f1a
