"Доктор Веб" обнаружил бэкдор в модифицированных версиях Telegram X

Эксперты "Доктор Веб" зафиксировали распространение опасного бэкдора Android.Backdoor.Baohuo.1.origin, встроенного в модифицированный злоумышленниками мессенджер Telegram X. По оценкам экспертов, число зараженных устройств превысило 58 тыс., а каждый день наблюдается порядка 20 тыс. активных подключений.

Вредоносное ПО предоставляет злоумышленникам полный контроль над аккаунтом Telegram жертвы: кража логинов и паролей, выгрузка истории переписок, перехват содержимого буфера обмена и управление подписками. Среди уникальных возможностей трояна — сокрытие подключений со сторонних устройств в списке активных сессий Telegram, а также добавление и удаление пользователей из каналов, вступление в чаты и выход из них от лица владельца учетной записи. По сути, бэкдор используется в том числе для массовой накрутки подписчиков в каналах.

По словам специалистов, перехват буфера обмена особенно опасен: это позволяет похищать пароли, MFA-коды, мнемонические фразы криптокошельков и другие конфиденциальные данные, которые пользователь копирует для передачи или хранения.

Атаки организованы через распространение модифицированных APK: основным методом доставки являются рекламные баннеры внутри мобильных приложений, которые перенаправляют пользователей на фейковые страницы якобы магазинов приложений с предложением загрузить Telegram X. На таких сайтах мессенджер рекламируется как сервис для знакомств и видеочатов; злоумышленники используют подложные отзывы и локализацию интерфейса. На данный момент основная цель кампании — пользователи в Бразилии и Индонезии.

Помимо вредоносных сайтов, троян обнаружен в сторонних каталогах приложений APKPure, ApkSum, AndroidP, причем на APKPure он был опубликован якобы от имени официального разработчика.

"Доктор Веб" уведомил площадки, где были найдены троянские сборки, и продолжает мониторинг инфраструктуры злоумышленников. Эксперты рекомендуют пользователям соблюдать базовые меры безопасности: не скачивать приложения из сторонних источников, проверять цифровые подписи и репутацию издателя, избегать перехода по рекламным баннерам, а также регулярно обновлять официальные приложения.