Исследователи Dr.Web сообщают об обнаружении модифицированных версий приложения Telegram X с бэкдором Baohuo под капотом, который отслеживается ими как Android.Backdoor.Baohuo.1.origin.

Распространение Baohuo началось ещё в середине 2024 года, о чём свидетельствуют ранее выявленные модификации. Основной способ его доставки на целевые устройства - через встроенную рекламу в мобильных приложениях.

Потенциальным жертвам демонстрируется реклама мессенджера Telegram X. При клике по таким баннерам пользователи перенаправляются на вредоносные сайты, которые позиционируется как каталоги приложений, с них загружается APK-файл трояна.

В настоящее время киберпреступники продвигают шаблоны рекламных баннеров приложения только на двух языках - португальском (для пользователей из Бразилии) и индонезийском, что указывает на географический таргет кампании.

Изучение сетевой инфраструктуры злоумышленников позволило определить масштаб их активности. В среднем в Dr.Web фиксировали около 20 000 активных подключений Baohuo.

При этом общее количество заражённых устройств уже превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Причем вредоносные веб-сайты - это не единственный источник распространения. Эксперты также обнаружили его в каталогах сторонних приложений, включая APKPure, ApkSum и AndroidP.

В целом, в ходе исследования было выявлено несколько образцов Baohuo, которые условно можно разделить на 3 основные группы модификаций, в которых:
- бэкдор встраивался в основной исполняемый DEX-файл мессенджера;
- бэкдор динамически загружался в виде патча в исполняемый DEX-файл с помощью инструмента LSPatch;
- бэкдор находился в отдельном DEX-файле в каталоге ресурсов приложения и загружается динамически.

Независимо от типа модификации Baohuo инициализируется при запуске мессенджера, который остаётся работоспособным и для пользователей выглядит как обычная ПО. Однако в реальности злоумышленники получают полный контроль через бэкдор и могут изменять логику его работы.

Когда киберпреступникам необходимо выполнить действие, не требующее вмешательства в основной функционал приложения, они используют заранее подготовленные «зеркала» необходимых методов мессенджера.

Например, зеркала могут использоваться для отображения фишинговых сообщений в окнах, внешне неотличимых от настоящих окон Telegram X.

Если действие нестандартно для мессенджера, то используется фреймворк Xposed. Он напрямую изменяет определённый функционал приложения через динамическую модификацию методов. 

Основное отличие ранних версий вредоносной ПО от современных заключается в способе управления: старые взаимодействовали с киберпреступниками через командный сервер C2.

Однако со временем разработчики добавили возможность получать дополнительные команды из базы данных Redis, тем самым расширив её функциональность.

При этом они также предусмотрели возможность дублирования новых команд через обычный командный сервер C2 на случай недоступности базы данных. Это первый известный случай использования Redis для управления вредоносным ПО для Android.

Помимо возможности похищать конфиденциальные данные, эта вредоносная ПО обладает рядом уникальных особенностей:
- скрывать подключения со сторонних устройств в списке активных сеансов Telegram;
- добавлять и удалять пользователя из каналов Telegram;
- присоединяться к чатам и выходить из них и др.

Фактически, с помощью этого бэкдора злоумышленники получают полный контроль над аккаунтом жертвы и функционалом мессенджера, а сам троян является инструментом для накрутки подписчиков в каналах Telegram.

Другие технические подробности и IOCs - в отчете.