Хакеры используют вредоносное ПО в мессенджере Telegram для получения контроля над системой

Согласно сообщениям, вредоносное ПО распространяется на устройства через обманчивую внутриигровую рекламу и сторонние магазины приложений, которые маскируются под легитимные платформы для знакомств и общения. Эта угроза представляет собой значительную эскалацию распространения мобильного вредоносного ПО, которое уже заразило 58 000 устройств.

Кроме того, оно распространилось более чем на 3000 смартфонов, планшетов, ТВ-приставок и некоторые автомобильные системы на базе Android.

Хакеры используют Telegram в качестве оружия, внедряя вредоносное ПО для получения доступа

В отчете утверждается , что распространение бэкдора началось в 2024 году, причем хакер в основном атаковал пользователей из Бразилии и Индонезии, используя шаблоны на португальском и индонезийском языках. Жертвы сталкиваются с рекламой в мобильном приложении, которая перенаправляет их на поддельные каталоги приложений с фальшивыми отзывами и рекламными баннерами, предлагающими бесплатные видеочаты и возможности знакомств. Эти поддельные веб-сайты распространяют приложения, зараженные вредоносным ПО , которые выглядят так же, как и легитимные.

Помимо вредоносных веб-сайтов, бэкдор также проник в известные сторонние репозитории, включая APKPure, ApkSum и AndroidP, где он обманным путем размещается под именем официального разработчика мессенджера, несмотря на наличие другой цифровой подписи.

Аналитикиdent, что вредоносное ПО обладает исключительной способностью крастьdentинформацию, включаяdentданные для входа, пароли и полную историю чатов. Бэкдор также скрывает признаки взлома учетной записи, скрывая подключения сторонних устройств из списков активных сессий Telegram.

Кроме того, вредоносная программа способна удалять или добавлять своих жертв в каналы и чаты без их согласия, полностью маскируя эти действия, и превращать взломанные аккаунты в инструменты для искусственного завышения числа подписчиков в Telegram-каналах.

Отличительной чертой этого вредоносного ПО от обычных угроз для Android является использование базы данных Redis для операций управления и контроля. Более ранние версии вредоносной программы полагались на традиционные C2-серверы, но разработчики интегрировали команды на основе Redis.

Вредоносное ПО манипулирует функциями, оставаясь незамеченным

В отчете утверждается, что бэкдор использует множество методов для незаметного манипулирования функциями мессенджера. Для операций, не затрагивающих основные функции приложения, хакеры используют уже подготовленные копии методов мессенджера, представляющие собой отдельные блоки кода, отвечающие за выполнение конкретных задач в архитектуре программы Android.

Это зеркало позволяет приложению отображать фишинговые сообщения в окнах, которые идеально имитируют оригинальный Telegram X. интерфейс

Для других операций, требующих более глубокой интеграции, вредоносная программа использует фреймворк Xposed для модификации методов приложения, что позволяет, например, скрывать определенные чаты, скрывать авторизованные устройства и перехватывать содержимое буфера обмена. Вредоносная программа-бэкдор использует каналы Redis и серверы управления и контроля (C2) для получения обширных команд, включая загрузку SMS, контактов и содержимого буфера обмена всякий раз, когда пользователь сворачивает или восстанавливает окно мессенджера.

Мониторинг буфера обмена используется хакерами для кражи данных, таких как пароли от криптокошельков, мнемонические фразы илиdentделовая переписка, которая могла быть случайно раскрыта. Бэкдор собирает информацию об устройстве, данные об установленных приложениях, историю сообщений и токены аутентификации, и передает эту информацию хакерам каждые три минуты, имитируя работу обычного мессенджера Telegram.