Основы Интернет - технологий.

Аналитики «Доктор Веб» обнаружили бэкдор Baohuo (Android.Backdoor.Baohuo.1.origin), скрывающийся в модифицированных версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные и учетные данные пользователя, а также историю переписки, малварь обладает рядом уникальных особенностей. Например, умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, вредонос может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, скрывая эти действия. Фактически с помощью Baohuo злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Отмечается, что операторы малвари управляют ею в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам специалистов общее число зараженных Baohuo устройств превышает 58 000. Распространение вредоноса началось в середине 2024 года, о чем свидетельствуют обнаруженные при анализе более ранние модификации. Основным способом доставки бэкдора является реклама внутри мобильных приложений. Потенциальным жертвам демонстрируются объявления, в которых предлагается установить мессенджер Telegram X. При нажатии на баннер пользователи перенаправляются на вредоносные сайты, с которых и происходит загрузка вредоносного APK. Обычно такие сайты оформлены в стиле магазина приложений, а сам Telegram X позиционируется как площадка для удобного поиска партнера для общения и свиданий. В настоящее время операторы малвари используют шаблоны с баннерами только для двух языков: португальского с ориентиром на пользователей из Бразилии, а также индонезийского. То есть основной целью атакующих являются жители Бразилии и Индонезии. Однако исследователи подчеркивают, что нельзя исключать, что со временем интерес злоумышленников распространится и на пользователей из других стран. Изучение сетевой инфраструктуры атакующих позволило определить масштаб их деятельности. В ходе анализа исследователи наблюдали порядка 20 000 активных подключений Baohuo. Отмечается, что заражению подверглись около 3000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android. Однако Baohuo распространяется не только через вредоносные сайты. Также специалисты обнаружили бэкдор в сторонних магазинах приложений для Android (например, APKPure, ApkSum и AndroidP). При этом в APKPure вредонос размещен от имени официального разработчика мессенджера, несмотря на то, что цифровые подписи оригинала и троянской модификации отличаются. Исследователи пишут, что уведомили все онлайн-площадки, где были найдены вредоносные версии Telegram X. Эксперты «Доктор Веб» выявили несколько разновидностей малвари, которые были разделены на три основные группы модификаций Telegram X: версии, в которых злоумышленники встроили бэкдор в основной исполняемый DEX-файл мессенджера; версии, в которых бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch; версии, в которых бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически. Независимо от типа модификации Baohuo инициализируется при запуске самого мессенджера, а сам Telegram X остается работоспособным и для пользователей выглядит как обычная программа. Когда операторам малвари нужно выполнить действие, которое не требует вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» необходимых методов приложения. Например, с их помощью могут отображаться фишинговые сообщения в окнах, которые внешне не будут отличаться от настоящих окон Telegram X. Если же действие не является стандартным, используется фреймворк Xposed, который непосредственно меняет ту или иную функциональность мессенджера через динамическую модификацию методов. В частности, с его помощью скрываются определенные чаты и авторизованные устройства, а также перехватывается содержимое буфера обмена. Основное отличие ранних версий малвари от актуальных заключается в организации управления трояном. В старых модификациях связь со злоумышленниками и получение от них заданий реализованы традиционным способом — через управляющий сервер. Но со временем авторы малвари добавили в Baohuo возможность отправки дополнительных команд через базу данных Redis, расширив функциональность и обеспечив себя двумя независимыми каналами управления. При этом предусмотрено дублирование новых команд и через обычный управляющий сервер на случай, если база окажется недоступной. В отчете подчеркивается, что это первый известный случай применения Redis для управления вредоносным ПО для Android. Во время запуска Baohuo соединяется с начальным управляющим сервером для загрузки конфигурации, которая также содержит данные для подключения к Redis. Через эту БД злоумышленники не только отправляют определенные команды вредоносному приложению, но и обновляют настройки трояна. В том числе они назначают адрес текущего управляющего сервера, а также NPS-сервера. Последний используется для подключения зараженных устройств к внутренней сети хакеров и превращения их в прокси для выхода в интернет. Baohuo периодически связывается с управляющим сервером через API-вызовы и может получать следующие задания: загрузить на сервер входящие SMS и контакты из телефонной книги зараженного устройства; отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возвращении в его окно; получить от сервера интернет-адреса для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла; получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена; запросить группу команд на сбор информации об установленных на устройстве приложениях, истории сообщений, контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется с интервалом в 30 минут); запросить у сервера ссылку для скачивания обновления Telegram X; запросить у сервера конфигурацию, которая сохраняется в виде JSON-файла; запросить информацию о базе данных Redis; загрузить на сервер информацию об устройстве при каждой сетевой активности мессенджера; получить с сервера список ботов, которые затем добавляются в список контактов Telegram; каждые три минуты передавать на сервер информацию о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номер мобильного телефона с именем и паролем от учетной записи Telegram; каждую минуту запрашивать команды в формате, аналогичном командам от базы данных Redis. Для получения команд через Redis вредонос подключается к соответствующему серверу, где регистрирует свой подканал — к нему в дальнейшем подключаются хакеры. Они публикуют в нем задания, которые бэкдор исполняет. Команды в этом случае отличаются: создать черный список чатов, которые не будут отображаться пользователю в окне Telegram X; скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи; заблокировать на заданное время отображение уведомлений от чатов из созданного черного списка; показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт; отправить на сервер информацию обо всех установленных приложениях; сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram; показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его); убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя; загрузить на сервер информацию из баз данных Telegram X, в которых хранится история чатов, сообщения и другие конфиденциальные данные; подписать пользователя на заданный Telegram-канал; покинуть заданный Telegram-канал; вступить от лица пользователя в Telegram-чат по указанной ссылке; получить список устройств, на которых выполнена авторизация в Telegram; запросить получение токена аутентификации пользователя и передать его на сервер. Исследователи подчеркивают, что перехват данных из буфера обмена, когда пользователь сворачивает мессенджер и снова возвращается в его окно, позволяет реализовывать различные сценарии кражи конфиденциальных данных. Например, жертва может скопировать пароль или seed-фразу для криптокошелька, текст важного документа для отправки бизнес-партнерам по почте и так далее, а Baohuo перехватит данные в буфере и передаст своим операторам.