Специалисты компании «Доктор Веб» выявили опасный бэкдор Android.Backdoor.Baohuo.1.origin, внедренный в модифицированный хакерами мессенджер Telegram X. Общее количество зараженных устройств превысило 58 тысяч. При этом ежедневно фиксируется около 20 тысяч активных подключений.
Эксперты сообщили, что с помощью вредоносного программного обеспечения злоумышленники получают полный доступ к аккаунту Telegram жертвы. Этот троян уникален тем, что скрывает подключения с других устройств в списке активных сессий Telegram, а также добавляет и удаляет пользователей из каналов. Таким образом, бэкдор используется не только для кражи данных, но и для массового увеличения числа подписчиков в каналах.
По словам специалистов, перехват буфера обмена представляет особую опасность. Злоумышленники похищают пароли, коды MFA, мнемонические фразы криптокошельков и другие конфиденциальные данные, которые пользователь копирует для передачи или хранения.
Атаки осуществляются через распространение модифицированных APK. Чаще всего угроза исходит от рекламных баннеров в мобильных приложениях, которые перенаправляют пользователей на поддельные страницы магазинов приложений с предложением скачать Telegram X. На таких сайтах мессенджер позиционируется как сервис для знакомств и видеочатов.
Эксперты отметили, что основными целями кампании на данный момент являются пользователи в Бразилии и Индонезии. Кроме того, троян был обнаружен в сторонних каталогах приложений APKPure, ApkSum, AndroidP.
Ранее специалисты F6 и RuStore обнаружили и заблокировали 604 домена, которые были частью инфраструктуры хакеров, заражавших мобильные устройства пользователей вредоносным ПО для кражи денег и конфиденциальной информации.
Мошенники начали подготовку к «черной пятнице»
