黑客利用恶意软件入侵 Telegram 即时通讯软件，以获取系统控制权

据报道，该 恶意软件 通过欺骗性的应用内广告和伪装成合法约会和通讯平台的第三方应用商店传播到设备上。这一威胁标志着移动恶意软件传播范围的显著扩大，目前已感染58000台设备。

此外，它还已扩展到 3000 多款智能手机、平板电脑、电视盒子和一些基于 Android 的车载系统。.

黑客利用恶意软件入侵 Telegram，以获取访问权限

报告 称 ，后门程序的传播始于2024年，黑客主要针对巴西和印度尼西亚用户，并使用葡萄牙语和印尼语模板。受害者会在移动应用内看到广告，这些广告会将他们重定向到虚假的应用目录，其中包含虚假评论和宣传免费视频聊天和交友机会的横幅广告。这些虚假网站提供的应用都植入了 恶意软件 ，其外观与合法应用完全相同。

除了恶意网站外，该后门程序还渗透到已建立的第三方存储库中，包括 APKPure、ApkSum 和 AndroidP，尽管具有不同的数字签名，但它仍以官方即时通讯开发者的名义发布。.

分析人员dent，该恶意软件具有窃取dent信息的卓越能力，包括登录dent、密码和完整的聊天记录。该后门程序还会隐藏第三方设备连接，从而掩盖账户被盗用的特征，使其不显示在活跃的 Telegram 会话列表中。.

此外，它还能在未经受害者同意的情况下，将受害者从频道和聊天中移除或添加，完全掩盖这些行为，并将被盗用的帐户变成人为增加 Telegram 频道订阅者的工具。.

它与传统安卓威胁的不同之处在于，它利用 Redis 数据库进行命令与控制操作。该恶意软件的早期版本依赖于传统的 C2 服务器，但开发者已经集成了基于 Redis 的命令功能。.

恶意软件可在不被察觉的情况下篡改系统功能。

报告称，该后门利用多种技术操纵即时通讯应用的功能而不被检测到。对于不会干扰应用核心功能的操作，黑客使用预先准备好的即时通讯方法镜像，这些镜像代码块是独立的代码块，负责Android程序架构中的特定任务。.

原始界面的窗口中显示钓鱼信息 Telegram X 。

对于其他需要深度集成的操作，该恶意软件利用 Xposed 框架修改应用程序方法，从而实现诸如隐藏特定聊天记录、隐藏已授权设备以及拦截剪贴板内容等功能。该后门恶意软件使用 Redis 通道和 C2 服务器接收大量指令，包括在用户最小化或恢复即时通讯窗口时上传短信、联系人和剪贴板内容。.

黑客利用剪贴板监控功能窃取数据，例如加密钱包密码、助记词或无意中泄露dent商业通信。该后门程序会收集设备信息、已安装应用程序数据、消息历史记录和身份验证令牌，并在保持 Telegram 即时通讯软件正常运行的同时，每三分钟将这些信息传输给黑客。.