- Backdoor Android integrat in versiuni modificate Telegram X Messenger
- Peste 58.000 de dispozitive compromise, pe ~3.000 de modele, inclusiv sisteme auto pe Android
- Distribuit prin reclame inselatoare si magazine terte (APKPure, ApkSum, AndroidP)
- Control complet al conturilor si mascarea sesiunilor active Telegram
- Prima utilizare documentata a bazei de date Redis pentru comanda si control pe Android
Android este vizat de un backdoor de noua generatie, denumit Android.Backdoor.Baohuo.1.origin, care a fost descoperit in versiuni modificate cu intentie rauvoitoare ale Telegram X Messenger, oferind atacatorilor control total asupra conturilor victimelor si operare nedetectata.
Campania tinteste ecosistemul Android si ridica stacheta sofisticarii malware-ului mobil, prin tehnici de infiltrare, persistenta si mascarea activitatii in cadrul aplicatiei de mesagerie.
Vectorul de raspandire: reclame inselatoare si cataloage contrafacute
Malware-ul patrunde in dispozitive prin reclame din aplicatii si din magazine de aplicatii terte, prezentandu-se drept platforme legitime de dating si comunicare.
Utilizatorii sunt directionati catre cataloage de aplicatii contrafacute, cu recenzii false si bannere care promit „chaturi video gratuite” si oportunitati de dating. De aici, sunt livrate APK-uri troienizate care imita instalari legitime Telegram X, fiind dificil de deosebit de aplicatia originala.
Anvergura infectarilor pe ecosistemul Android
Peste 58.000 de telefoane si tablete Android ar fi fost compromise, acoperind aproximativ 3.000 de modele de smartphone-uri, tablete, boxe TV si chiar sisteme de vehicule bazate pe Android.
Android a fost vizat de distributi de pe la mijlocul anului 2024, cu un focus pe utilizatorii din Brazilia si Indonezia, folosind sabloane lingvistice in portugheza si indoneziana. In afara site-urilor malitioase, mostre ale backdoor-ului au ajuns si in depozite consacrate de aplicatii terte, inclusiv APKPure, ApkSum si AndroidP, listate inselator sub numele dezvoltatorului oficial, dar cu semnaturi digitale diferite.
Ce poate face backdoor-ul: de la furt de date la control de canale
Analizele Dr.Web arata capabilitati extinse de exfiltrare a datelor: credentiale de autentificare, parole si istorice complete de chat. Backdoor-ul ascunde indicatorii de compromitere, inclusiv conexiunile dispozitivelor terte din listele de sesiuni Telegram active.
Mai mult, poate adauga sau elimina autonom utilizatori din canale, se poate alatura chat-urilor in numele victimelor si mascheaza complet aceste actiuni. In practica, conturile compromise devin instrumente pentru umflarea artificiala a numarului de abonati ai canalelor Telegram.
Noutatea tehnica: Redis in arhitectura C2 pentru Android
Elementul care diferentiaza Android.Backdoor.Baohuo.1.origin este utilizarea, in premiera documentata pe Android, a bazei de date Redis in mecanismele de comanda si control.
Daca versiunile anterioare se bazau pe servere C2 traditionale, autorii au integrat progresiv receptia de comenzi prin Redis, mentinand in paralel redundanta C2. Aceasta combinatie sporeste rezilienta si flexibilitatea operationala a campaniei.
Cum se ascunde si manipuleaza mesageria
Pentru operatiunile care nu interfereaza cu functiile de baza, atacatorii folosesc „oglinzi” pre-pregatite ale metodelor de mesagerie: blocuri de cod separate responsabile de sarcini specifice in arhitectura Android. Aceste oglinzi permit afisarea mesajelor de phishing in ferestre ce replica fidel interfetele autentice Telegram X.
Pentru operatiuni non-standard ce cer integrare mai profunda, este utilizat framework-ul Xposed, care modifica dinamic metodele aplicatiei, activand capabilitati precum ascunderea anumitor chat-uri, mascarea dispozitivelor autorizate si interceptarea continutului clipboard-ului.
Canalul de comenzi: actiuni extinse la evenimente de fereastra
Prin canale Redis si servere C2, Android.Backdoor.Baohuo.1.origin primeste o gama larga de comenzi, inclusiv incarcarea mesajelor SMS, a contactelor si a continutului clipboard-ului.
Aceste declansatoare pot fi legate de evenimentele aplicatiei, de pilda atunci cand utilizatorii minimizeaza sau restaureaza fereastra de mesagerie, extinzand suprafata de colectare a datelor fara a ridica suspiciuni.
Android se confrunta cu o amenintare care imbina ingineria sociala, deturnarea lantului de distributie si o inovatie tehnica rara pentru mobil: folosirea Redis in C2. Android.Backdoor.Baohuo.1.origin demonstreaza cum combinatia dintre APK-uri troienizate, oglinzi de metode si Xposed poate transforma o aplicatie aparent legitima intr-un instrument complet de preluare si monetizare a conturilor.
