СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
24.10.2025
#ИБ#Инфра

Россиян предупредили о мощном вирусе в поддельном Telegram X, уже приведшем к компрометации 58 000 устройств

Россиян предупредили о мощном вирусе в поддельном Telegram X, уже приведшем к компрометации 58 000 устройств

Изображение: recraft

Специалисты компании «Доктор Веб» выявили опасный бэкдор под обозначением Android.Backdoor.Baohuo.1.origin в модифицированных вариантах мессенджера Telegram X. Зловред распространяется в виде APK и предоставляет злоумышленникам полный удалённый контроль над аккаунтом пользователя и доступ к конфиденциальным данным, что создаёт риски для приватности и финансовой информации владельцев устройств.

По оценке «Доктор Веб», число заражённых превысило 58 000 устройств, при этом одновременно активно подключено примерно 20 000 инфицированных клиентов. Под удар попали около 3 000 моделей оборудования; среди затронутых платформ оказались не только смартфоны и планшеты, но и ТВ‑приставки, а иногда и автомобильные бортовые системы на базе Android. Основной вектор распространения — рекламные баннеры в приложениях, которые перенаправляют пользователей на сайт с предложением скачать «Telegram X» для знакомств или видеочатов. Сайт имитирует магазин приложений и содержит фиктивные отзывы и кнопку загрузки APK.

Функции трояна:

  • фальсифицировать список активных сессий Telegram чтобы скрыть подключённые устройства и маскировать компрометацию;
  • добавлять и удалять пользователей из каналов, вступать в чаты и отправлять сообщения от имени владельца аккаунта чтобы накручивать подписчиков и управлять активностью;
  • перехватывать содержимое буфера обмена загружать СМС и контакты вытаскивать историю сообщений и токены аутентификации;
  • работать через классический канал управления и через базу данных Redis в роли второго канала управления;
  • создавать на заражённых устройствах прокси‑сервисы НРS загружать обновления трояна и отображать фишинговые окна прямо в интерфейсе мессенджера.

Особая опасность этой кампании состоит в сочетании нескольких приёмов эксплуатации и устойчивых механизмов сокрытия следов. Злоумышленники используют Redis как альтернативный канал команд что нетипично для Android‑угроз и усложняет детектирование активности. Также троян позволяет похищать аутентификационные токены и историю чатов что создаёт возможность дальнейших атак на контакты жертвы и раскрытия платёжной информации.

Эксперты «Доктор Веб» рекомендуют не устанавливать приложения из непроверенных источников не переходить по рекламным баннерам и проверять домен и оформление сайта перед загрузкой APK. Если есть подозрение на компрометацию аккаунта стоит отключить активные сессии через настройки мессенджера сменить пароли и проверить телефонные номера и привязанные способы восстановления. В корпоративной среде важно контролировать установку приложений на устройства сотрудников и внедрять решения для обнаружения подозрительного сетевого трафика и нежелательных прокси‑сервисов.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: