Lažni Telegram X širi novi Android backdoor: Baohuo preuzima Telegram naloge korisnika

Mobilni telefoni, 24.10.2025, 14:30 PM

Novi Android trojanac, Android.Backdoor.Baohuo.1.origin, širi se preko lažnih verzija aplikacije Telegram X, dajući napadačima potpunu kontrolu nad korisničkim nalozima.

Prema analizi kompanije Doctor Web, reč je o jednom od najnaprednijih Android backdoor programa viđenih ove godine.

Baohuo se maskira kao regularna aplikacija Telegram X - eksperimentalna verzija popularne aplikacije koja je dostupna na Google Play. Lažna verzija aplikacije se distribuira preko onlajn oglasa koji nude „bržu“ ili „dejting“ varijantu aplikacije. Nakon instalacije, sve izgleda normalno, ali u pozadini trojanac uspostavlja vezu sa serverima napadača i preuzima kontrolu nad Telegram nalogom korisnika.

Malver može da sakriva neovlašćene prijave i sva nova ili obrisana ćaskanja i kanale. Ovo omogućava napadačima da se pridruže, napuste ili promene četove, a da korisnik to ne primeti. U stvari, oni dobijaju potpun pristup porukama, kontaktima i sesijama i mogu da upravljaju četovima kao da su vlasnici naloga.

Baohuo može da sakrije uređaje i obaveštenja i da prikazuje lažna obaveštenja o ažuriranjima koja šalju korisnike na zlonamerne sajtove.

Malver može da kopira clipboard sadržaj (uključujući lozinke i seed fraze kripto-novčanika), i sve što kopira može se presresti i poslati direktno na server napadača. Baohuo takođe šalje napadačima detalje o aktivnostima korisnika, kao na primer, da li je ekran uključen i koje dozvole aplikacija ima.

Za razliku od većine Android malvera koji komuniciraju preko standardnih C2 kanala, Baohuo prima komande direktno iz Redis baze podataka, što ga čini prvim poznatim Android malverom koji koristi Redis za kontrolu.

Ovo omogućava napadačima da lako šalju instrukcije i nastave sa radom ako njihov glavni C2 server prestane da radi. Ove komande uključuju otpremanje SMS poruka, kontakata, preuzimanje ključeva za šifrovanje, prikazivanje oglasa, preuzimanje ažuriranja ili prikupljanje detaljnih informacija o zaraženom uređaju.

Doctor Web navodi da je kampanja počela sredinom 2024. i već zarazila više od 58.000 uređaja - od telefona i tableta do Android TV box-ova i multimedijalnih sistema u kolima.

Malver je pronađen i u popularnim prodavnicama aplikacija (APKPure, ApkSum, AndroidP), gde se lažno predstavljao kao „zvanična“ verzija Telegrama. Doctor Web kaže da je upozorio ove platforme da uklone fajlove zaražene trojancem.

Kako se zaštititi

» Telegram (i Telegram X) preuzimajte isključivo sa Google Play-a ili sa zvaničnog sajta Telegrama.

» Ne instalirajte APK fajlove iz oglasa ili sa nepoznatih sajtova.

» Redovno ažurirajte antivirus i proveravajte koje dozvole imaju instalirane aplikacije.

» Ako koristite alternativne prodavnice aplikacija, proverite digitalni potpis i izbegavajte „modifikovane“ verzije popularnih aplikacija.