На вид как Telegram, а внутри шпион: тысячи пользователей уже "под прицелом"

Эксперты компании "Доктор Веб" сообщили о масштабной кибератаке с использованием вредоносного ПО Android. Backdoor.Baohuo.1.origin, встроенного в поддельную версию популярного мессенджера Telegram X. По их данным, заражено уже более 58 тысяч устройств, а ежедневно фиксируется около 20 тысяч активных подключений к серверам злоумышленников.

Как работает заражённая версия Telegram X

Модифицированный APK-файл Telegram X распространяется через рекламные баннеры внутри мобильных приложений. Переход по ссылке ведёт пользователя на фейковую страницу, замаскированную под магазин приложений, где предлагается скачать якобы "улучшенную" версию мессенджера. На странице размещаются ложные отзывы, русифицированный интерфейс и элементы дизайна, имитирующие официальный Telegram.

После установки троян получает полный доступ к аккаунту Telegram. Он крадёт логины, пароли, историю переписок, а также умеет перехватывать содержимое буфера обмена, что делает возможной кражу криптокошельков и паролей.

"Троян Android. Backdoor.Baohuo.1.origin способен скрывать сторонние подключения в Telegram и действовать от лица пользователя", — отметили специалисты "Доктор Веб".

Таким образом, злоумышленники могут вступать в чаты, подписываться на каналы или удалять подписчиков, создавая эффект живой активности. Этот инструмент активно используется для массовой накрутки аудитории в Telegram-каналах.

Почему атака опасна

Основная угроза заключается в том, что бэкдор маскируется под легитимное приложение. Пользователь не замечает подозрительных действий — уведомления и активные сессии не отображаются в списке Telegram. При этом троян остаётся в фоне и передаёт данные на сервер злоумышленников.

Особенно опасен перехват буфера обмена. Любая копированная информация — коды MFA, номера карт, фразы восстановления криптокошельков — попадает к атакующим. Для владельцев криптоактивов это грозит прямыми финансовыми потерями.

Кроме того, модифицированные сборки обнаружены в популярных сторонних каталогах приложений — APKPure, ApkSum и AndroidP. На APKPure программа была выложена якобы от имени официального разработчика Telegram, что особенно ввело пользователей в заблуждение.

География и цели атаки

Пока основная волна заражений приходится на Бразилию и Индонезию, однако эксперты предупреждают, что схема доставки может быть легко адаптирована под другие регионы. Распространение вредоносного Telegram X идёт через рекламные сети и сторонние маркетплейсы, поэтому угрозу нельзя считать локальной.

По словам аналитиков, подобные кампании часто используются не только для кражи данных, но и для манипуляций с социальными медиа, когда заражённые аккаунты превращаются в инструмент раскрутки или фишинговых рассылок.

Как защититься от Android. Backdoor.Baohuo.1.origin

Эксперты "Доктор Веб" уже уведомили администрации площадок, где были найдены заражённые APK, и продолжают наблюдение за инфраструктурой атаки. Тем временем пользователям рекомендуется соблюдать базовые правила цифровой гигиены:

1. Скачивайте приложения только из официальных источников, таких как Google Play.

2. Проверяйте цифровую подпись и репутацию разработчика перед установкой.

3. Не переходите по рекламным баннерам и подозрительным ссылкам внутри приложений.

4. Регулярно обновляйте официальные программы, включая Telegram.

5. Используйте антивирусное ПО для Android, которое отслеживает подозрительные активности приложений.

Если Telegram X был установлен не из Google Play, стоит немедленно удалить его, просканировать устройство антивирусом и сменить пароли ко всем аккаунтам, где применялся тот же логин.

Ошибки пользователей и безопасные альтернативы

• Ошибка: загрузка APK-файлов с неизвестных сайтов.
  Последствие: скрытое заражение устройства и утечка данных.
  Альтернатива: установка официальных версий Telegram и Telegram X из Google Play или App Store.

• Ошибка: отключение защиты Google Play Protect.
  Последствие: отсутствие проверки вредоносного кода.
  Альтернатива: активировать защиту и использовать проверенные антивирусы, например Dr. Web Security Space или Kaspersky Standard.

• Ошибка: доверие рекламе и "улучшенным версиям" популярных приложений.
  Последствие: установка троянов, замаскированных под легальные программы.
  Альтернатива: проверять домен сайта — официальная страница Telegram имеет адрес telegram.org.

А что если заражение уже произошло?

Если устройство подозрительно тормозит, появляются неизвестные подключения в Telegram или изменяются настройки аккаунта, нужно:

• выйти из всех активных сессий Telegram;

• сменить пароль и включить двухфакторную аутентификацию;

• удалить подозрительные приложения;

• провести полное сканирование смартфона антивирусом;

• при необходимости сбросить устройство до заводских настроек.

Даже если заражение кажется маловероятным, стоит проверить список установленных приложений — троян может маскироваться под "Telegram Video Chat" или "Telegram Dating".

Плюсы и минусы неофициальных APK

FAQ

Как понять, что Telegram заражён?
Если появляются неизвестные контакты, каналы или сообщения отправляются без вашего ведома, вероятно, устройство заражено.

Можно ли безопасно использовать Telegram X?
Да, но только если приложение скачано из официального источника (Google Play). Любые сторонние APK представляют угрозу.

Как проверить подлинность приложения?
Сверьте цифровую подпись APK с официальным хэшем разработчика на сайте Telegram. org.

Поможет ли переустановка Telegram?
Да, если удалить заражённую версию полностью и установить оригинал, а также сменить все пароли.

Какие антивирусы обнаруживают Baohuo.1.origin?
Троян фиксируется "Доктор Веб", Kaspersky, Avast и ESET как вредоносное ПО семейства Android. Backdoor.

Мифы и правда

• Миф: модифицированные версии Telegram безопаснее, потому что открывают скрытые функции.
  Правда: такие версии часто используются злоумышленниками для внедрения троянов.

• Миф: Android-антивирусы не нужны.
  Правда: вредоносные APK распространяются всё активнее, а защита системы не всегда срабатывает.

• Миф: фейковые приложения можно отличить по дизайну.
  Правда: современные подделки полностью копируют интерфейс и оформление оригинала.

Исторический контекст

Похожие атаки уже происходили ранее:

• в 2022 году через поддельный WhatsApp Pink распространялся троян для кражи данных;

• в 2023-м обнаружили вредоносный Instagram Pro, похищавший логины;

• в 2024-м аналогичная схема использовалась для подделки Signal и Viber.