Prema analizi kompanije Doctor Web, rIJeč je o jednom od najnaprednijih Android backdoor programa viđenih ove godine.
Baohuo se maskira kao regularna aplikacija Telegram X – eksperimentalna verzija popularne aplikacije koja je dostupna na Google Play. Lažna verzija aplikacije se distribuira preko onlajn oglasa koji nude „bržu“ ili „dejting“ varijantu aplikacije. Nakon instalacije, sve izgleda normalno, ali u pozadini trojanac uspostavlja vezu sa serverima napadača i preuzima kontrolu nad Telegram nalogom korisnika.
Malver može da sakriva neovlašćene prijave i sva nova ili obrisana ćaskanja i kanale. Ovo omogućava napadačima da se pridruže, napuste ili promijene četove, a da korisnik to ne primjeti. U stvari, oni dobijaju potpun pristup porukama, kontaktima i sesijama i mogu da upravljaju četovima kao da su vlasnici naloga.
Baohuo može da sakrije uređaje i obavještenja i da prikazuje lažna obavještenja o ažuriranjima koja šalju korisnike na zlonamjerne sajtove.
Malver može da kopira clipboard sadržaj (uključujući lozinke i seed fraze kripto-novčanika), i sve što kopira može se presresti i poslati direktno na server napadača. Baohuo takođe šalje napadačima detalje o aktivnostima korisnika, kao na primjer, da li je ekran uključen i koje dozvole aplikacija ima.
Za razliku od većine Android malvera koji komuniciraju preko standardnih C2 kanala, Baohuo prima komande direktno iz Redis baze podataka, što ga čini prvim poznatim Android malverom koji koristi Redis za kontrolu.
Ovo omogućava napadačima da lako šalju instrukcije i nastave sa radom ako njihov glavni C2 server prestane da radi. Ove komande uključuju otpremanje SMS poruka, kontakata, preuzimanje ključeva za šifrovanje, prikazivanje oglasa, preuzimanje ažuriranja ili prikupljanje detaljnih informacija o zaraženom uređaju.
Doctor Web navodi da je kampanja počela sredinom 2024. i već zarazila više od 58.000 uređaja – od telefona i tableta do Android TV box-ova i multimedijalnih sistema u kolima.
Malver je pronađen i u popularnim prodavnicama aplikacija (APKPure, ApkSum, AndroidP), gdje se lažno predstavljao kao „zvanična“ verzija Telegrama. Doctor Web kaže da je upozorio ove platforme da uklone fajlove zaražene trojancem.
Kako se zaštititi
– Telegram (i Telegram X) preuzimajte isključivo sa Google Play-a ili sa zvaničnog sajta Telegrama.
– Ne instalirajte APK fajlove iz oglasa ili sa nepoznatih sajtova.
– Redovno ažurirajte antivirus i provjeravajte koje dozvole imaju instalirane aplikacije.
– Ako koristite alternativne prodavnice aplikacija, provjerite digitalni potpis i izbjegavajte „modifikovane“ verzije popularnih aplikacija, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.